REGULAMENTO GERAL DE PROTEÇÃO DE DADOS: UM ......das escolhas que não me podia faltar fazer. Aos...
Transcript of REGULAMENTO GERAL DE PROTEÇÃO DE DADOS: UM ......das escolhas que não me podia faltar fazer. Aos...
Ana Sofia Medeiros Melo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
Dissertaccedilatildeo no acircmbito do Mestrado em Ciecircncias Juriacutedico-Forenses orientada pelo Professor Doutor Pedro Antoacutenio Pimenta Costa Gonccedilalves e apresentada agrave Faculdade
de Direito da Universidade de Coimbra
Janeiro de 2019
REGULAMENTO GERAL DE PROTECcedilAtildeO DE
DADOS
Um Novo Paradigma Regulatoacuterio
Ana Sofia Medeiros Melo
Dissertaccedilatildeo no acircmbito do Mestrado em Ciecircncias Juriacutedico-Forenses orientada pelo Professor
Doutor Pedro Antoacutenio Pimenta Costa Gonccedilalves e apresentada agrave Faculdade de Direito da
Universidade de Coimbra
Janeiro de 2019
2
Aos meus pais
que me obrigam a natildeo desistir de lutar
3
ldquoFazer tudo da nossa parte
como se Deus natildeo pudesse fazer nada e depois
pocircr toda a nossa esperanccedila em Deus como se
da nossa parte natildeo tiveacutessemos feito nadardquo
(Inaacutecio de Loyola)
4
AGRADECIMENTOS
Aqui chegados cumpre dizer obrigada a todos os que mudaram a minha vida para
melhor ao que de bom muito bom a vida me traz e ao resto porque tem me feito correr
atraacutes dos meus sonhos ao que tenho e ao que sou aos que me deram a matildeo aos que
acrescentaram luz aos dias e aos que me fizeram perceber a pessoa que quero ser
Em primeiro lugar ao Senhor Professor Doutor Pedro Antoacutenio Pimenta Costa
Gonccedilalves que aceitou orientar a presente dissertaccedilatildeo pela sua sempre raacutepida e afaacutevel
resposta a todas as minhas comunicaccedilotildees bem como pela sua cuidadosa observaccedilatildeo ao meu
trabalho Permite-se afirmar que num mundo em que eacute difiacutecil fazer escolhas esta era uma
das escolhas que natildeo me podia faltar fazer
Aos meus pais Helena e Joseacute a quem devo a pessoa que me tornei fruto de uma
conjugaccedilatildeo de valores e ideias tanto maternos como paternos A eles que em todos os
momentos tanto do percurso acadeacutemico como ao longo da vida revelaram-se um pilar
responsaacutevel por toda a carga que a minha estrutura emocional acarreta Pais que sempre me
indicaram o rumo quando eu (tantas vezes) achei-me perdida A eles que datildeo sentido a cada
coisa da minha vida que para aleacutem de conhecerem o caminho percorreram-no ateacute ao fim de
matildeos dadas comigo Eles mais do que eu acreditaram e continuam a acreditar no meu
potencial
Aos meus irmatildeos e aos meus cunhados que sempre me indicaram que o sentido eacute em
frente e que apesar de tudo tal como os nossos pais os transmitiram a feacute eacute o que sempre
temos a nosso favor Um ldquonatildeo te preocupes que eu estou sempre aquirdquo nos dias certos uma
palavra de alento um gesto de amor uma frase de coragem Obrigado agrave matildeo cheia de
esperanccedila que depositaram em mim e por tantas vezes aliviarem a forccedila do aperto no
coraccedilatildeo
Aos meus sobrinhos que na ingenuidade dos seus olhos encontro o verdadeiro
significado de felicidade e que ganham o estatuto de pessoas-luz de toda esta caminhada A
presenccedila deles enche-me os dias de amor e eacute com este Amor que goza de maior pureza que
me sinto feliz
5
Agrave restante famiacutelia pelo apoio incondicional e por me ajudar a perceber que sou tatildeo
feliz com o ldquopoucordquo que tenho Por fazerem me sentir fenomenal e que sem saber fazem
magia com a sua alegria
Ao Doutor Ricardo do Nascimento Cabral um sentido obrigado por ter lanccedilado a
primeira pedra nesta obra por me ter impulsionado na pesquisa e investigaccedilatildeo na aacuterea da
proteccedilatildeo de dados E por desde o iniacutecio ter incentivado a frequecircncia neste Mestrado Natildeo
posso nunca deixar de agradecer aos restantes colegas de trabalho sem distinccedilotildees pelas
condiccedilotildees proporcionadas e pelo apoio prestado
Agraves amigas que Coimbra me deu pela inabalaacutevel forccedila dada ao longo dos uacuteltimos 6
anos e aos restantes amigos amigos de A grande que sabem (sempre) como me reconfortar
Ao que o Direito e a ilha juntaram diga-se ao Bruno agrave Carolina agrave Matilde agrave Joana
e agrave Rita por acreditarem por nunca me deixaram tirar da cabeccedila o que levo no coraccedilatildeo
Quando eu queria muito que desse certo eles acreditaram sempre que daria certo Satildeo uma
luz que se soma agrave minha forccedila
Estes 6 anos chegaram para perceber que o que importa de verdade eacute lutar para
alcanccedilar os nossos sonhos eacute saber quem satildeo os que caminham ao nosso lado sem filtros Eacute
ter a coragem de natildeo desistirmos de noacutes Eacute saber levantar e dar sempre a volta por cima Eacute
decidir que natildeo importa onde (em Coimbra ou na ilha) natildeo importa quando natildeo importa
como o plano eacute um soacute nem tudo vale tanto e quase nada vale tanto
Neste e noutros desafios da minha vida obrigada muito obrigada seraacute por vezes a
mais reconhecida homenagem num mundo em que soacute natildeo somos nada
6
RESUMO
A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico
desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)
2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral
de Proteccedilatildeo de Dados Pessoais)
Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A
montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo
legislativa concisa por forccedila da qual surgiu o RGPD
De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da
Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de
dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo
35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a
base para o atual panorama do direito da proteccedilatildeo de dados
Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida
A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do
TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos
Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a
fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e agrave livre circulaccedilatildeo desses dados
Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe
e que afetam todos os agentes econoacutemicos
O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados
na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20
milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram
muitas empresas a preocuparem-se com o tema pela primeira vez
Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes
econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE
DADOS
Um Novo Paradigma Regulatoacuterio
Ana Sofia Medeiros Melo
Dissertaccedilatildeo no acircmbito do Mestrado em Ciecircncias Juriacutedico-Forenses orientada pelo Professor
Doutor Pedro Antoacutenio Pimenta Costa Gonccedilalves e apresentada agrave Faculdade de Direito da
Universidade de Coimbra
Janeiro de 2019
2
Aos meus pais
que me obrigam a natildeo desistir de lutar
3
ldquoFazer tudo da nossa parte
como se Deus natildeo pudesse fazer nada e depois
pocircr toda a nossa esperanccedila em Deus como se
da nossa parte natildeo tiveacutessemos feito nadardquo
(Inaacutecio de Loyola)
4
AGRADECIMENTOS
Aqui chegados cumpre dizer obrigada a todos os que mudaram a minha vida para
melhor ao que de bom muito bom a vida me traz e ao resto porque tem me feito correr
atraacutes dos meus sonhos ao que tenho e ao que sou aos que me deram a matildeo aos que
acrescentaram luz aos dias e aos que me fizeram perceber a pessoa que quero ser
Em primeiro lugar ao Senhor Professor Doutor Pedro Antoacutenio Pimenta Costa
Gonccedilalves que aceitou orientar a presente dissertaccedilatildeo pela sua sempre raacutepida e afaacutevel
resposta a todas as minhas comunicaccedilotildees bem como pela sua cuidadosa observaccedilatildeo ao meu
trabalho Permite-se afirmar que num mundo em que eacute difiacutecil fazer escolhas esta era uma
das escolhas que natildeo me podia faltar fazer
Aos meus pais Helena e Joseacute a quem devo a pessoa que me tornei fruto de uma
conjugaccedilatildeo de valores e ideias tanto maternos como paternos A eles que em todos os
momentos tanto do percurso acadeacutemico como ao longo da vida revelaram-se um pilar
responsaacutevel por toda a carga que a minha estrutura emocional acarreta Pais que sempre me
indicaram o rumo quando eu (tantas vezes) achei-me perdida A eles que datildeo sentido a cada
coisa da minha vida que para aleacutem de conhecerem o caminho percorreram-no ateacute ao fim de
matildeos dadas comigo Eles mais do que eu acreditaram e continuam a acreditar no meu
potencial
Aos meus irmatildeos e aos meus cunhados que sempre me indicaram que o sentido eacute em
frente e que apesar de tudo tal como os nossos pais os transmitiram a feacute eacute o que sempre
temos a nosso favor Um ldquonatildeo te preocupes que eu estou sempre aquirdquo nos dias certos uma
palavra de alento um gesto de amor uma frase de coragem Obrigado agrave matildeo cheia de
esperanccedila que depositaram em mim e por tantas vezes aliviarem a forccedila do aperto no
coraccedilatildeo
Aos meus sobrinhos que na ingenuidade dos seus olhos encontro o verdadeiro
significado de felicidade e que ganham o estatuto de pessoas-luz de toda esta caminhada A
presenccedila deles enche-me os dias de amor e eacute com este Amor que goza de maior pureza que
me sinto feliz
5
Agrave restante famiacutelia pelo apoio incondicional e por me ajudar a perceber que sou tatildeo
feliz com o ldquopoucordquo que tenho Por fazerem me sentir fenomenal e que sem saber fazem
magia com a sua alegria
Ao Doutor Ricardo do Nascimento Cabral um sentido obrigado por ter lanccedilado a
primeira pedra nesta obra por me ter impulsionado na pesquisa e investigaccedilatildeo na aacuterea da
proteccedilatildeo de dados E por desde o iniacutecio ter incentivado a frequecircncia neste Mestrado Natildeo
posso nunca deixar de agradecer aos restantes colegas de trabalho sem distinccedilotildees pelas
condiccedilotildees proporcionadas e pelo apoio prestado
Agraves amigas que Coimbra me deu pela inabalaacutevel forccedila dada ao longo dos uacuteltimos 6
anos e aos restantes amigos amigos de A grande que sabem (sempre) como me reconfortar
Ao que o Direito e a ilha juntaram diga-se ao Bruno agrave Carolina agrave Matilde agrave Joana
e agrave Rita por acreditarem por nunca me deixaram tirar da cabeccedila o que levo no coraccedilatildeo
Quando eu queria muito que desse certo eles acreditaram sempre que daria certo Satildeo uma
luz que se soma agrave minha forccedila
Estes 6 anos chegaram para perceber que o que importa de verdade eacute lutar para
alcanccedilar os nossos sonhos eacute saber quem satildeo os que caminham ao nosso lado sem filtros Eacute
ter a coragem de natildeo desistirmos de noacutes Eacute saber levantar e dar sempre a volta por cima Eacute
decidir que natildeo importa onde (em Coimbra ou na ilha) natildeo importa quando natildeo importa
como o plano eacute um soacute nem tudo vale tanto e quase nada vale tanto
Neste e noutros desafios da minha vida obrigada muito obrigada seraacute por vezes a
mais reconhecida homenagem num mundo em que soacute natildeo somos nada
6
RESUMO
A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico
desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)
2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral
de Proteccedilatildeo de Dados Pessoais)
Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A
montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo
legislativa concisa por forccedila da qual surgiu o RGPD
De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da
Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de
dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo
35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a
base para o atual panorama do direito da proteccedilatildeo de dados
Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida
A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do
TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos
Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a
fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e agrave livre circulaccedilatildeo desses dados
Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe
e que afetam todos os agentes econoacutemicos
O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados
na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20
milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram
muitas empresas a preocuparem-se com o tema pela primeira vez
Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes
econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm
2
Aos meus pais
que me obrigam a natildeo desistir de lutar
3
ldquoFazer tudo da nossa parte
como se Deus natildeo pudesse fazer nada e depois
pocircr toda a nossa esperanccedila em Deus como se
da nossa parte natildeo tiveacutessemos feito nadardquo
(Inaacutecio de Loyola)
4
AGRADECIMENTOS
Aqui chegados cumpre dizer obrigada a todos os que mudaram a minha vida para
melhor ao que de bom muito bom a vida me traz e ao resto porque tem me feito correr
atraacutes dos meus sonhos ao que tenho e ao que sou aos que me deram a matildeo aos que
acrescentaram luz aos dias e aos que me fizeram perceber a pessoa que quero ser
Em primeiro lugar ao Senhor Professor Doutor Pedro Antoacutenio Pimenta Costa
Gonccedilalves que aceitou orientar a presente dissertaccedilatildeo pela sua sempre raacutepida e afaacutevel
resposta a todas as minhas comunicaccedilotildees bem como pela sua cuidadosa observaccedilatildeo ao meu
trabalho Permite-se afirmar que num mundo em que eacute difiacutecil fazer escolhas esta era uma
das escolhas que natildeo me podia faltar fazer
Aos meus pais Helena e Joseacute a quem devo a pessoa que me tornei fruto de uma
conjugaccedilatildeo de valores e ideias tanto maternos como paternos A eles que em todos os
momentos tanto do percurso acadeacutemico como ao longo da vida revelaram-se um pilar
responsaacutevel por toda a carga que a minha estrutura emocional acarreta Pais que sempre me
indicaram o rumo quando eu (tantas vezes) achei-me perdida A eles que datildeo sentido a cada
coisa da minha vida que para aleacutem de conhecerem o caminho percorreram-no ateacute ao fim de
matildeos dadas comigo Eles mais do que eu acreditaram e continuam a acreditar no meu
potencial
Aos meus irmatildeos e aos meus cunhados que sempre me indicaram que o sentido eacute em
frente e que apesar de tudo tal como os nossos pais os transmitiram a feacute eacute o que sempre
temos a nosso favor Um ldquonatildeo te preocupes que eu estou sempre aquirdquo nos dias certos uma
palavra de alento um gesto de amor uma frase de coragem Obrigado agrave matildeo cheia de
esperanccedila que depositaram em mim e por tantas vezes aliviarem a forccedila do aperto no
coraccedilatildeo
Aos meus sobrinhos que na ingenuidade dos seus olhos encontro o verdadeiro
significado de felicidade e que ganham o estatuto de pessoas-luz de toda esta caminhada A
presenccedila deles enche-me os dias de amor e eacute com este Amor que goza de maior pureza que
me sinto feliz
5
Agrave restante famiacutelia pelo apoio incondicional e por me ajudar a perceber que sou tatildeo
feliz com o ldquopoucordquo que tenho Por fazerem me sentir fenomenal e que sem saber fazem
magia com a sua alegria
Ao Doutor Ricardo do Nascimento Cabral um sentido obrigado por ter lanccedilado a
primeira pedra nesta obra por me ter impulsionado na pesquisa e investigaccedilatildeo na aacuterea da
proteccedilatildeo de dados E por desde o iniacutecio ter incentivado a frequecircncia neste Mestrado Natildeo
posso nunca deixar de agradecer aos restantes colegas de trabalho sem distinccedilotildees pelas
condiccedilotildees proporcionadas e pelo apoio prestado
Agraves amigas que Coimbra me deu pela inabalaacutevel forccedila dada ao longo dos uacuteltimos 6
anos e aos restantes amigos amigos de A grande que sabem (sempre) como me reconfortar
Ao que o Direito e a ilha juntaram diga-se ao Bruno agrave Carolina agrave Matilde agrave Joana
e agrave Rita por acreditarem por nunca me deixaram tirar da cabeccedila o que levo no coraccedilatildeo
Quando eu queria muito que desse certo eles acreditaram sempre que daria certo Satildeo uma
luz que se soma agrave minha forccedila
Estes 6 anos chegaram para perceber que o que importa de verdade eacute lutar para
alcanccedilar os nossos sonhos eacute saber quem satildeo os que caminham ao nosso lado sem filtros Eacute
ter a coragem de natildeo desistirmos de noacutes Eacute saber levantar e dar sempre a volta por cima Eacute
decidir que natildeo importa onde (em Coimbra ou na ilha) natildeo importa quando natildeo importa
como o plano eacute um soacute nem tudo vale tanto e quase nada vale tanto
Neste e noutros desafios da minha vida obrigada muito obrigada seraacute por vezes a
mais reconhecida homenagem num mundo em que soacute natildeo somos nada
6
RESUMO
A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico
desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)
2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral
de Proteccedilatildeo de Dados Pessoais)
Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A
montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo
legislativa concisa por forccedila da qual surgiu o RGPD
De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da
Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de
dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo
35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a
base para o atual panorama do direito da proteccedilatildeo de dados
Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida
A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do
TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos
Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a
fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e agrave livre circulaccedilatildeo desses dados
Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe
e que afetam todos os agentes econoacutemicos
O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados
na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20
milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram
muitas empresas a preocuparem-se com o tema pela primeira vez
Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes
econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm
3
ldquoFazer tudo da nossa parte
como se Deus natildeo pudesse fazer nada e depois
pocircr toda a nossa esperanccedila em Deus como se
da nossa parte natildeo tiveacutessemos feito nadardquo
(Inaacutecio de Loyola)
4
AGRADECIMENTOS
Aqui chegados cumpre dizer obrigada a todos os que mudaram a minha vida para
melhor ao que de bom muito bom a vida me traz e ao resto porque tem me feito correr
atraacutes dos meus sonhos ao que tenho e ao que sou aos que me deram a matildeo aos que
acrescentaram luz aos dias e aos que me fizeram perceber a pessoa que quero ser
Em primeiro lugar ao Senhor Professor Doutor Pedro Antoacutenio Pimenta Costa
Gonccedilalves que aceitou orientar a presente dissertaccedilatildeo pela sua sempre raacutepida e afaacutevel
resposta a todas as minhas comunicaccedilotildees bem como pela sua cuidadosa observaccedilatildeo ao meu
trabalho Permite-se afirmar que num mundo em que eacute difiacutecil fazer escolhas esta era uma
das escolhas que natildeo me podia faltar fazer
Aos meus pais Helena e Joseacute a quem devo a pessoa que me tornei fruto de uma
conjugaccedilatildeo de valores e ideias tanto maternos como paternos A eles que em todos os
momentos tanto do percurso acadeacutemico como ao longo da vida revelaram-se um pilar
responsaacutevel por toda a carga que a minha estrutura emocional acarreta Pais que sempre me
indicaram o rumo quando eu (tantas vezes) achei-me perdida A eles que datildeo sentido a cada
coisa da minha vida que para aleacutem de conhecerem o caminho percorreram-no ateacute ao fim de
matildeos dadas comigo Eles mais do que eu acreditaram e continuam a acreditar no meu
potencial
Aos meus irmatildeos e aos meus cunhados que sempre me indicaram que o sentido eacute em
frente e que apesar de tudo tal como os nossos pais os transmitiram a feacute eacute o que sempre
temos a nosso favor Um ldquonatildeo te preocupes que eu estou sempre aquirdquo nos dias certos uma
palavra de alento um gesto de amor uma frase de coragem Obrigado agrave matildeo cheia de
esperanccedila que depositaram em mim e por tantas vezes aliviarem a forccedila do aperto no
coraccedilatildeo
Aos meus sobrinhos que na ingenuidade dos seus olhos encontro o verdadeiro
significado de felicidade e que ganham o estatuto de pessoas-luz de toda esta caminhada A
presenccedila deles enche-me os dias de amor e eacute com este Amor que goza de maior pureza que
me sinto feliz
5
Agrave restante famiacutelia pelo apoio incondicional e por me ajudar a perceber que sou tatildeo
feliz com o ldquopoucordquo que tenho Por fazerem me sentir fenomenal e que sem saber fazem
magia com a sua alegria
Ao Doutor Ricardo do Nascimento Cabral um sentido obrigado por ter lanccedilado a
primeira pedra nesta obra por me ter impulsionado na pesquisa e investigaccedilatildeo na aacuterea da
proteccedilatildeo de dados E por desde o iniacutecio ter incentivado a frequecircncia neste Mestrado Natildeo
posso nunca deixar de agradecer aos restantes colegas de trabalho sem distinccedilotildees pelas
condiccedilotildees proporcionadas e pelo apoio prestado
Agraves amigas que Coimbra me deu pela inabalaacutevel forccedila dada ao longo dos uacuteltimos 6
anos e aos restantes amigos amigos de A grande que sabem (sempre) como me reconfortar
Ao que o Direito e a ilha juntaram diga-se ao Bruno agrave Carolina agrave Matilde agrave Joana
e agrave Rita por acreditarem por nunca me deixaram tirar da cabeccedila o que levo no coraccedilatildeo
Quando eu queria muito que desse certo eles acreditaram sempre que daria certo Satildeo uma
luz que se soma agrave minha forccedila
Estes 6 anos chegaram para perceber que o que importa de verdade eacute lutar para
alcanccedilar os nossos sonhos eacute saber quem satildeo os que caminham ao nosso lado sem filtros Eacute
ter a coragem de natildeo desistirmos de noacutes Eacute saber levantar e dar sempre a volta por cima Eacute
decidir que natildeo importa onde (em Coimbra ou na ilha) natildeo importa quando natildeo importa
como o plano eacute um soacute nem tudo vale tanto e quase nada vale tanto
Neste e noutros desafios da minha vida obrigada muito obrigada seraacute por vezes a
mais reconhecida homenagem num mundo em que soacute natildeo somos nada
6
RESUMO
A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico
desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)
2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral
de Proteccedilatildeo de Dados Pessoais)
Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A
montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo
legislativa concisa por forccedila da qual surgiu o RGPD
De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da
Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de
dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo
35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a
base para o atual panorama do direito da proteccedilatildeo de dados
Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida
A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do
TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos
Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a
fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e agrave livre circulaccedilatildeo desses dados
Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe
e que afetam todos os agentes econoacutemicos
O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados
na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20
milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram
muitas empresas a preocuparem-se com o tema pela primeira vez
Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes
econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm
4
AGRADECIMENTOS
Aqui chegados cumpre dizer obrigada a todos os que mudaram a minha vida para
melhor ao que de bom muito bom a vida me traz e ao resto porque tem me feito correr
atraacutes dos meus sonhos ao que tenho e ao que sou aos que me deram a matildeo aos que
acrescentaram luz aos dias e aos que me fizeram perceber a pessoa que quero ser
Em primeiro lugar ao Senhor Professor Doutor Pedro Antoacutenio Pimenta Costa
Gonccedilalves que aceitou orientar a presente dissertaccedilatildeo pela sua sempre raacutepida e afaacutevel
resposta a todas as minhas comunicaccedilotildees bem como pela sua cuidadosa observaccedilatildeo ao meu
trabalho Permite-se afirmar que num mundo em que eacute difiacutecil fazer escolhas esta era uma
das escolhas que natildeo me podia faltar fazer
Aos meus pais Helena e Joseacute a quem devo a pessoa que me tornei fruto de uma
conjugaccedilatildeo de valores e ideias tanto maternos como paternos A eles que em todos os
momentos tanto do percurso acadeacutemico como ao longo da vida revelaram-se um pilar
responsaacutevel por toda a carga que a minha estrutura emocional acarreta Pais que sempre me
indicaram o rumo quando eu (tantas vezes) achei-me perdida A eles que datildeo sentido a cada
coisa da minha vida que para aleacutem de conhecerem o caminho percorreram-no ateacute ao fim de
matildeos dadas comigo Eles mais do que eu acreditaram e continuam a acreditar no meu
potencial
Aos meus irmatildeos e aos meus cunhados que sempre me indicaram que o sentido eacute em
frente e que apesar de tudo tal como os nossos pais os transmitiram a feacute eacute o que sempre
temos a nosso favor Um ldquonatildeo te preocupes que eu estou sempre aquirdquo nos dias certos uma
palavra de alento um gesto de amor uma frase de coragem Obrigado agrave matildeo cheia de
esperanccedila que depositaram em mim e por tantas vezes aliviarem a forccedila do aperto no
coraccedilatildeo
Aos meus sobrinhos que na ingenuidade dos seus olhos encontro o verdadeiro
significado de felicidade e que ganham o estatuto de pessoas-luz de toda esta caminhada A
presenccedila deles enche-me os dias de amor e eacute com este Amor que goza de maior pureza que
me sinto feliz
5
Agrave restante famiacutelia pelo apoio incondicional e por me ajudar a perceber que sou tatildeo
feliz com o ldquopoucordquo que tenho Por fazerem me sentir fenomenal e que sem saber fazem
magia com a sua alegria
Ao Doutor Ricardo do Nascimento Cabral um sentido obrigado por ter lanccedilado a
primeira pedra nesta obra por me ter impulsionado na pesquisa e investigaccedilatildeo na aacuterea da
proteccedilatildeo de dados E por desde o iniacutecio ter incentivado a frequecircncia neste Mestrado Natildeo
posso nunca deixar de agradecer aos restantes colegas de trabalho sem distinccedilotildees pelas
condiccedilotildees proporcionadas e pelo apoio prestado
Agraves amigas que Coimbra me deu pela inabalaacutevel forccedila dada ao longo dos uacuteltimos 6
anos e aos restantes amigos amigos de A grande que sabem (sempre) como me reconfortar
Ao que o Direito e a ilha juntaram diga-se ao Bruno agrave Carolina agrave Matilde agrave Joana
e agrave Rita por acreditarem por nunca me deixaram tirar da cabeccedila o que levo no coraccedilatildeo
Quando eu queria muito que desse certo eles acreditaram sempre que daria certo Satildeo uma
luz que se soma agrave minha forccedila
Estes 6 anos chegaram para perceber que o que importa de verdade eacute lutar para
alcanccedilar os nossos sonhos eacute saber quem satildeo os que caminham ao nosso lado sem filtros Eacute
ter a coragem de natildeo desistirmos de noacutes Eacute saber levantar e dar sempre a volta por cima Eacute
decidir que natildeo importa onde (em Coimbra ou na ilha) natildeo importa quando natildeo importa
como o plano eacute um soacute nem tudo vale tanto e quase nada vale tanto
Neste e noutros desafios da minha vida obrigada muito obrigada seraacute por vezes a
mais reconhecida homenagem num mundo em que soacute natildeo somos nada
6
RESUMO
A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico
desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)
2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral
de Proteccedilatildeo de Dados Pessoais)
Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A
montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo
legislativa concisa por forccedila da qual surgiu o RGPD
De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da
Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de
dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo
35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a
base para o atual panorama do direito da proteccedilatildeo de dados
Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida
A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do
TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos
Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a
fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e agrave livre circulaccedilatildeo desses dados
Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe
e que afetam todos os agentes econoacutemicos
O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados
na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20
milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram
muitas empresas a preocuparem-se com o tema pela primeira vez
Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes
econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm
5
Agrave restante famiacutelia pelo apoio incondicional e por me ajudar a perceber que sou tatildeo
feliz com o ldquopoucordquo que tenho Por fazerem me sentir fenomenal e que sem saber fazem
magia com a sua alegria
Ao Doutor Ricardo do Nascimento Cabral um sentido obrigado por ter lanccedilado a
primeira pedra nesta obra por me ter impulsionado na pesquisa e investigaccedilatildeo na aacuterea da
proteccedilatildeo de dados E por desde o iniacutecio ter incentivado a frequecircncia neste Mestrado Natildeo
posso nunca deixar de agradecer aos restantes colegas de trabalho sem distinccedilotildees pelas
condiccedilotildees proporcionadas e pelo apoio prestado
Agraves amigas que Coimbra me deu pela inabalaacutevel forccedila dada ao longo dos uacuteltimos 6
anos e aos restantes amigos amigos de A grande que sabem (sempre) como me reconfortar
Ao que o Direito e a ilha juntaram diga-se ao Bruno agrave Carolina agrave Matilde agrave Joana
e agrave Rita por acreditarem por nunca me deixaram tirar da cabeccedila o que levo no coraccedilatildeo
Quando eu queria muito que desse certo eles acreditaram sempre que daria certo Satildeo uma
luz que se soma agrave minha forccedila
Estes 6 anos chegaram para perceber que o que importa de verdade eacute lutar para
alcanccedilar os nossos sonhos eacute saber quem satildeo os que caminham ao nosso lado sem filtros Eacute
ter a coragem de natildeo desistirmos de noacutes Eacute saber levantar e dar sempre a volta por cima Eacute
decidir que natildeo importa onde (em Coimbra ou na ilha) natildeo importa quando natildeo importa
como o plano eacute um soacute nem tudo vale tanto e quase nada vale tanto
Neste e noutros desafios da minha vida obrigada muito obrigada seraacute por vezes a
mais reconhecida homenagem num mundo em que soacute natildeo somos nada
6
RESUMO
A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico
desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)
2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral
de Proteccedilatildeo de Dados Pessoais)
Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A
montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo
legislativa concisa por forccedila da qual surgiu o RGPD
De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da
Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de
dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo
35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a
base para o atual panorama do direito da proteccedilatildeo de dados
Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida
A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do
TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos
Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a
fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e agrave livre circulaccedilatildeo desses dados
Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe
e que afetam todos os agentes econoacutemicos
O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados
na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20
milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram
muitas empresas a preocuparem-se com o tema pela primeira vez
Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes
econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm
6
RESUMO
A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico
desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)
2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral
de Proteccedilatildeo de Dados Pessoais)
Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A
montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo
legislativa concisa por forccedila da qual surgiu o RGPD
De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da
Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de
dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo
35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a
base para o atual panorama do direito da proteccedilatildeo de dados
Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida
A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do
TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos
Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a
fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e agrave livre circulaccedilatildeo desses dados
Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe
e que afetam todos os agentes econoacutemicos
O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados
na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20
milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram
muitas empresas a preocuparem-se com o tema pela primeira vez
Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes
econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm
7
sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados
pessoais
Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da
Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais
8
ABSTRACT
This dissertation made in an era when the technological development poses a
challenge to fundamental rights intends to frame and analyze the new Regulation (EU)
2016679 from the European Parliament and the Council of 27th April 2016 (General Data
Protection Regulation)
For that purpose the work was split in two parts Upstream data protection as a
fundamental right the target of a concise legislative evolution from which GDPR was born
In fact it was based on the ECHR and the Convention 108 amidst the Council of
Europe that the European Union and the European countries developed the right to data
protection In the Portuguese case it was even constitutionally elevated (through article 35
of the Portuguese constitution) and in the European Union law through the Directive
9546CE the basis of the current outlook of the data protection law
That directive although with new solutions was unable to achieve the harmonization
that was wished for The solution was for the European Parliament and Council to use article
16 TFEU to approve the General Data Protection Regulation directly applicable in the
Member-states which had the main purpose of centralizing the rules insofar as to promote
the protection of individual persons as to their personal data processing and free movement
of those data
Hence in a second moment the innovations brought by GDPR which affect all the
economic agents are presented
GDPR encompasses much of what were already the rights and obligations enshrined
in the former directive The essential differences are found in the sanctions framework (20
Million euros or 4 of turnover) and accountability which forced many companies to worry
about the topic for the first time
Therefore what GDPR demands is an attitude shift of all economic agents Citizens
Organizations and State in order to promote the awareness of a true right to personal data
protection
9
Keywords Data Protection General Data Protection Regulation European Union Law
Convention 108 Directive 9546CE Right to Privacy Personal Data
10
SIGLAS E ABREVIATURAS
AC - Acoacuterdatildeo
ACS - Acoacuterdatildeos
AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados
AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados
AL ndash Aliacutenea
ALS - Aliacuteneas
ART ndash Artigo
ARTS - Artigos
CC - Coacutedigo Civil
CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)
CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia
CE - Conselho Europeu
CEE ndash Comunidade Econoacutemica Europeia
CEDH - Convenccedilatildeo Europeia dos Direitos do Homem
CF - Confira
CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados
CP - Coacutedigo Penal
CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa
DPO - Data Protection Officer
ECHR ndash European Court of Human Rights
EPD - Encarregado de Proteccedilatildeo de Dados
EPE ndash Entidade Puacuteblica Empresarial
11
EU ndash European Union
GDPR ndash General Data Protection Regulation
GTA29 - Grupo de Trabalho do Artigo 29
IT ndash Informaccedilatildeo tecnoloacutegica
Nordm - Nuacutemero
Nordms - Nuacutemeros
P - Paacutegina
P EX - Por exemplo
PROC - Processo
RGCO - Regime Geral das Contra-Ordenaccedilotildees
RGPD - Regulamento Geral de Proteccedilatildeo de Dados
SS - Seguintes
TC - Tribunal Constitucional
TEDH ndash Tribunal Europeu dos Direitos do Homem
TFEU ndash Treaty on the Functioning of the European Union
TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia
TJUE - Tribunal de Justiccedila da Uniatildeo Europeia
UE - Uniatildeo Europeia
V ndash Versus
VOL ndash Volume
12
IacuteNDICE
Agradecimentos 4
Resumo 6
Abstract 8
Siglas e abreviaturas 10
Iacutendice 12
Introduccedilatildeo 17
PARTE I ENQUADRAMENTO 19
Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19
2 Presenccedila em diplomas europeus 19
Capiacutetulo II Evoluccedilatildeo legislativa 21
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal 21
2 Diretiva 9546CE 21
PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23
Capiacutetulo I Nota introdutoacuteria 23
1 O processo de adoccedilatildeo 23
2 Um Regulamento porquecirc 24
3 Objeto e objetivos 24
4 Acircmbito de aplicaccedilatildeo 25
41 Material 25
42 Territorial 26
Capiacutetulo II Princiacutepios 28
1 Licitude lealdade e transparecircncia 28
11 Transparecircncia 29
12 Licitude 29
13
13 Lealdade 30
2 Limitaccedilatildeo dos tratamentos agraves finalidades 30
3 Minimizaccedilatildeo dos dados 32
4 Exatidatildeo 33
5 Limitaccedilatildeo da conservaccedilatildeo 34
6 Integridade e confidencialidade 36
7 Responsabilidade 37
Capiacutetulo III Pressupostos da licitude do tratamento 39
1 Consentimento 39
11 Definiccedilatildeo 39
12 Condiccedilotildees aplicaacuteveis ao consentimento 39
13 Consentimento das crianccedilas 41
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou
para diligecircncias preacute-contratuais a pedido do titular dos dados 42
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo
tratamento esteja sujeito 43
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa
singular 43
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade
puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro 45
Capiacutetulo IV Direitos do titular dos dados 48
1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48
11 Prazo 48
12 Resposta 48
13 Custo 49
2 Direito a ser informado 49
21 Definiccedilatildeo 49
22 Como cumprir 49
14
23 Isenccedilotildees 50
3 Direito de acesso 50
31Noccedilatildeo 50
4 Direito de retificaccedilatildeo 51
5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52
51 Noccedilatildeo 52
52 Limitaccedilotildees 52
53 Esquecimento em linha 53
6 Direito agrave limitaccedilatildeo do tratamento 55
7 Direito agrave portabilidade de dados 55
71 Noccedilatildeo 55
72 Requisitos 56
73 Meios teacutecnicos 57
8 Direito de oposiccedilatildeo 58
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis 59
10 Limitaccedilotildees aos direitos dos titulares de dados 60
Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61
Secccedilatildeo I Obrigaccedilotildees gerais 61
1 Subcontrataccedilatildeo 61
2 Responsabilidade do responsaacutevel pelo tratamento 62
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63
31 Privacy by design 63
32 Privacy by default 63
33 Suacutemula 64
4 Documentaccedilatildeo e registo de atividade de tratamento 64
Secccedilatildeo II Seguranccedila dos dados pessoais 66
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68
15
21 Agrave autoridade de controlo 68
22 Ao titular dos dados 69
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71
1 Elo de ligaccedilatildeo 71
2 Designaccedilatildeo obrigatoacuteria 71
3 Funccedilotildees 72
4 Direitos 73
Capiacutetulo VI Sanccedilotildees 74
1 Corporate Risk 74
2 Sanccedilotildees 74
21 Natureza 74
22 Quantum das coimas 75
221 Limites maacuteximos e (natildeo) miacutenimos 75
23 Ne bis in idem 77
24 Responsaacuteveis pelas contra-ordenaccedilotildees 78
25 Ponderaccedilatildeo na aplicaccedilatildeo 79
251 Princiacutepio da proporcionalidade 79
252 Fatores 79
253 Como ponderar 80
3 Margem de discricionariedade dada aos Estados-Membros 80
Capiacutetulo VII Tutela judicial e responsabilidade civil 82
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo
82
2 Via judicial 83
21 Contra uma autoridade de controlo 83
16
22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83
3 Representaccedilatildeo dos titulares dos dados 84
4 Direito de indemnizaccedilatildeo e responsabilidade 84
Conclusatildeo 87
Bibliografia 90
Jurisprudecircncia 96
Legislaccedilatildeo consultada 101
Anexos 104
Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105
Anexo 2 Formulaacuterio para exercer direitos 106
Anexo 3 Poliacutetica de privacidade 107
Anexo 4 Contrato de subcontrataccedilatildeo 116
Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127
Anexo 6 Modelo de registo para o subcontratante 137
Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146
Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152
Anexo 9 Queixa perante a CNPD 156
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
17
INTRODUCcedilAtildeO
A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-
Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo
abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679
do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais
implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a
que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance
A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em
termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal
ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata
Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem
decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos
investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante
nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades
que tal experiecircncia tem criado
Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente
diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia
mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que
devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada
indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem
um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo
(hellip)rdquo
Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu
ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais
reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como
objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila
e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a
1 WESTIN Alan Privacy and Freedom 1967
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
18
convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas
singulares
A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I
(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas
integrada por capiacutetulos e alguns destes por secccedilotildees
Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a
abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados
enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro
legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II
Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as
principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e
continuaraacute a suscitar
No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente
embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas
continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD
O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente
nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou
antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto
de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo
tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para
a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de
tutela judicial e de acionamento da responsabilidade
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
19
sect PARTE I sect
ENQUADRAMENTO
CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave
PROTECcedilAtildeO DE DADOS
1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa
Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave
proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi
sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por
fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados
pessoais nomeadamente o seu art 35ordm2
Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema
desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras
paiacuteses europeus nomeadamente a Alemanha
Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais
passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD
2 Presenccedila em diplomas europeus
A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados
pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no
art 8ordm da CEDH5
Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os
indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto
2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de
1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
20
mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA
PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental
contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-
se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de
conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente
o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6
Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser
consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1
nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que
lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica
expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8
6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de
Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO
Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
21
CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA
1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento
automatizado dos dados de caraacutecter pessoal
Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a
necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados
pessoais
Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa
adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH
A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao
tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108
aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado
incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os
cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais
A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu
disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao
estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados
2 Diretiva 9546CE
De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de
proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de
outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente
baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais
para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como
base o jaacute disposto na Convenccedilatildeo 108
9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
22
Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi
alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste
modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua
transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-
Membros
A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da
informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a
adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um
espaccedilo legislativo uniforme e harmonizado
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
23
sect PARTE II sect
O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS
CAPIacuteTULO I NOTA INTRODUTOacuteRIA
1 O processo de adoccedilatildeo
O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art
16ordm do TFUE nos seguintes termos
ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz
respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo
bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do
direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10
A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de
meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de
grande dimensatildeo
Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido
pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do
Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de
dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva
9546CE foi revogada
10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de
datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo
modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em
janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o
Conselho da UE
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
24
2 Um Regulamento porquecirc
Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta
do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel
em todos os Estados membrosrdquo13
Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte
integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e
horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14
No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados
Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem
plenamente com o Regulamento o que reflete alguma margem de discricionariedade para
disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA
PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto
paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo
Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-
Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao
procedimento do controlo da coerecircnciardquo16
3 Objeto e objetivos
O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em
toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores
econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo
da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto
dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da
legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica
13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES
Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees
e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
25
As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de
proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo
4 Acircmbito de aplicaccedilatildeo
41Material
Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18
realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados
desde que contidos em ficheiros ou a eles destinados
Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito
Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento
a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo
do direito da UE19
b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades
relativas agrave poliacutetica externa e de seguranccedila comum
c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo
investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees
penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica
d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou
identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou
identificaacutevel20
e Os dados das pessoas coletivas
17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante
ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal
identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo
tratamento quer por terceiros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
26
f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades
exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade
profissional ou comercial22
Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia
proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de
aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo
que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua
identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou
informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um
laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo
do artigo 3deg nordm 1 da Diretiva (hellip)rdquo
Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a
imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de
vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada
durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na
ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo
puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do
tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente
laquopessoal ou domeacutesticaraquo (hellip)rdquo
Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de
cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de
gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular
na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa
e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado
no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta
disposiccedilatildeordquo 24
21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD
(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
27
42Territorial
O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do
estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a
empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a
subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados
residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um
responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o
direito de um Estado-Membro por forccedila do direito internacional puacuteblico
Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras
tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras
de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como
para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta
consequecircncias a niacutevel global
25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um
endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos
a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex
a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
28
CAPIacuteTULO II PRINCIacutePIOS
O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito
obrigatoacuterio que regem o tratamento de dados pessoais
Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de
imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios
constantes do RGPD teraacute de o comprovar- accountability26
Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos
responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo
do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios
1 Licitude lealdade e transparecircncia
Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio
da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais
devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo
Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento
juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)
Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees
previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo
tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre
os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do
consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular
apenas teraacute acesso aos seus proacuteprios dadosrdquo29
26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao
Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
29
Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio
suprarreferido
11Transparecircncia30
A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o
tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa
linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a
identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se
destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com
equidade e transparecircncia para com as pessoas singulares em causa bem como a
salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que
lhes dizem respeito que estatildeo a ser tratadosrdquo 31
Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as
relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso
Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam
respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados
12Licitude
A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos
tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se
que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD
inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares
dos dados devem ser avisados dos riscos regras garantias e direitos associados ao
tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos
30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
30
13Lealdade
ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos
tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre
responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma
forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por
empregadoresrdquo33
Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas
adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo
tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de
tratamento com o RGPD
2 Limitaccedilatildeo dos tratamentos agraves finalidades34
Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades
determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo
podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades
ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da
finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona
como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute
ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra
operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo
dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida
A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de
proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo
Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da
recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio
33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
31
que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo
estatildeo previstas no momento da recolhardquo36
Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art
89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins
de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados
incompatiacuteveis com as finalidades iniciais
Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a
qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento
apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em
atenccedilatildeo os seguintes fatores
a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento
futuro pretendido
b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas
razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua
relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento
c Natureza dos dados pessoais com especial cuidado para as categorias especiais de
dados pessoais
d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos
dados
e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como
nas outras operaccedilotildees de tratamento previstas 37
O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os
titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados
ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que
concerne a esse tratamento
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie
em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida
36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-
Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
32
necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial
os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser
autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da
compatibilidade das finalidades
3 Minimizaccedilatildeo dos dados
O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os
dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio
relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser
designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio
deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo
menor seraacute o risco
Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio
assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este
princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo
puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio
da proporcionalidade em sentido amplo)rdquo
Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a
revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo
estritamente necessaacuterio
Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave
concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre
uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento
eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39
Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre
outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos
38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de
Maio de 2013 proc C-34212 Worten
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
33
enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos
laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por
outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados
devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm
nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo
relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento
de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo
legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a
execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute
investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41
4 Exatidatildeo
Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os
dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas
as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que
satildeo tratados sejam apagados ou retificados sem demorardquo
Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de
tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve
ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua
atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para
que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem
um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este
princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e
do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de
boa gestatildeo da informaccedilatildeo
41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a
capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre
o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados
sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
34
Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer
em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa
assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou
seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a
destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em
causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em
fase de tratamentordquo44
5 Limitaccedilatildeo da conservaccedilatildeo
O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)
consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados
durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo
de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins
estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo
Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo
necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o
responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo
definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser
estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam
mantidos por natildeo mais do que o necessaacuterio
No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo
indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era
desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o
processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento
respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v
44 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
35
Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o
armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45
O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do
direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas
no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade
encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do
registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica
excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial
limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o
acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46
Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital
Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento
Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados
ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva
200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam
ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que
determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute
ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo
8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra
os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo
estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo
eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos
mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a
proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e
confidencialidaderdquo47
45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de
conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
36
O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida
privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no
seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas
6 Integridade e confidencialidade
O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto
eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo
ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo
A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar
efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de
seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso
modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a
dados pessoais
A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista
regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo
adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de
conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a
pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo
de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo
e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e
implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um
coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado
48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito
fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht
auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
37
7 Responsabilidade
Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este
princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos
princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art
5ordm
Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda
envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento
teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao
responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer
teraacute de o provar
Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade
por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do
controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo
europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no
Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo
(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa
administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53
Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as
disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades
de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os
responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma
vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os
subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees
50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees
sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165
MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que
foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
38
Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de
variadas formas entre as quais54
a Registar as atividades de tratamento para que as possa disponibilizar quando
solicitadas
b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja
envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais
c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que
possam resultar em um alto risco aos direitos e liberdades das pessoas
d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo
e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares
dos dados
f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo
54 Desenvolvidas no capiacutetulo V
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
39
CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO
O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as
causas de licitude do tratamento os quais iremos explicar em seguida
1 Consentimento55
Um dos principais pressupostos da licitude do tratamento dos dados reside na
necessidade de consentimento do titular dos dados para uma finalidade claramente definida
11Definiccedilatildeo
O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de
vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita
mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem
respeito sejam objeto de tratamentordquo
12Condiccedilotildees aplicaacuteveis ao consentimento
O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que
o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o
consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato
seja considerado vaacutelido nos termos que a seguir se apresenta
O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-
se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil
acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma
oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto
55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29
ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de
novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
40
natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e
atraveacutes de ato inequiacutevoco56
Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus
dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento
daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o
consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do
responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)
O consentimento deve ainda ser apresentando de forma destacada distinta e clara de
outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir
as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado
e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre
e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o
responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento
separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja
adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um
serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a
mesma execuccedilatildeo
O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer
momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as
organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi
concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica
comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo
Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de
consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo
de serviccedilo
Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que
significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer
56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
41
de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees
gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera
que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar
nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o
titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir
13Consentimento das crianccedilas
No considerando 38 fica patente que o RGPD pretendeu que existissem regras
especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este
consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento
ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade
inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta
Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos
riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o
tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o
aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser
abaixo dos 13 anos
A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os
13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de
harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes
sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em
enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se
encontram pela sua natureza limitados agraves fronteiras de cada Estado
58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do
Regulamento (UE) 2016679rdquo op cit p 6
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
42
2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte
ou para diligecircncias preacute-contratuais a pedido do titular dos dados
O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois
cenaacuterios diferentes
Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja
necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode
incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para
que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos
ao cartatildeo de creacutedito para que o pagamento seja efetuado
Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo
ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento
ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de
seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos
agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a
preparar a proposta
Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o
contrato e o tratamento realizado
Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro
como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa
diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira
pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece
sendo sempre mais criativa que qualquer legislador
Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra
facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os
quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e
medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo
mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia
Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute
livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as
empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
43
seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees
apenas unilaterais59
3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel
pelo tratamento esteja sujeito
A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o
responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte
contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade
patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos
salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a
denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das
normas em mateacuteria de luta contra branqueamento de capitais
4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular
Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a
questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de
outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de
dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder
basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v
Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave
equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH
considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso
entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse
vital do proacuteprio)
59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos
clientes para fins de marketing direto p ex
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
44
Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa
verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso
de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento
de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins
humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes
naturais
5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da
autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento
Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as
situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de
autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente
tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o
exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo
O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee
a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos
da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das
pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas
pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a
criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente
adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios
suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por
outro de estarem cumpridos todos os requisitos de licituderdquo
O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum
sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo
nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves
administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute
cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer
discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados
necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
45
considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo
e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central
dos estrangeiros para fins estatiacutesticosrdquo60
Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o
TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado
6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo
tratamento ou por um terceiro
Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses
legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se
prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo
De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo
tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo
prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em
conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o
responsaacutevelrdquo
A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente
da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no
contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com
essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir
fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos
e liberdades fundamentais do titular designadamente quando
a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel
em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste
b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da
fraude
c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta
60 Negrito nosso
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
46
d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo
associada a um organismo central transmitam dados pessoais no acircmbito do - grupo
de empresas para fins administrativos internos incluindo o tratamento de dados
pessoais de clientes ou funcionaacuterios e
e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees
sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de
comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a
ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees
informaacuteticas e eletroacutenicas
No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma
legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para
autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses
legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam
comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa
que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma
categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas
fontesrdquo
Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma
regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de
meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um
utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa
utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos
serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses
mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma
sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar
dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num
tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados
Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no
direito nacionalrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
47
Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo
de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma
ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e
eventualmente de um terceiro
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
48
CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS
O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo
de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de
modo a mitigar os desequiliacutebrios existentes
1 Regras para o exerciacutecio dos direitos dos titulares dos dados
O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste
sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a
implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos
titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para
que os titulares possam fazer os pedidos61
11Prazo
O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as
informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs
a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo
para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para
os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da
demora no prazo de um mecircs a contar da data do pedido inicial
12Resposta
O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos
formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate
imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por
61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
49
via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel
pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)
Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve
comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da
decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais
13Custo
Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das
informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de
os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo
pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos
2 Direito a ser informado
21Definiccedilatildeo
O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais
objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas
transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por
escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto
do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee
uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular
dos dados
22Como cumprir
Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas
informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em
62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
50
website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num
Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um
documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos
O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm
baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais
relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto
do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte
dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em
interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores
relativamente agrave definiccedilatildeo de prazos nos termos seguintes
a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos
processos de tratamento- al a)
b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento
da primeira comunicaccedilatildeo- al b)
c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da
divulgaccedilatildeo- al c)
23Isenccedilotildees
Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar
os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os
dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de
informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais
satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou
histoacuterica ou para fins estatiacutesticos
3 Direito de acesso
31Noccedilatildeo
O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm
da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
51
pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees
respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite
que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada
Este eacute um direito que se queda a montante de outros direitos tornando-se por isso
basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior
dos outros63
Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v
Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados
pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees
pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm
da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares
dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma
a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees
ao apertado crivo do prazo para o efeito
4 Direito de retificaccedilatildeo
O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos
exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os
seus dados pessoais quando estejam desatualizados incorretos ou incompletos
Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel
de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH
p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a
possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da
Carta
63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
52
5 Direito ao apagamento (o direito de ser esquecido)64
51Noccedilatildeo
O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem
que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos
responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade
52Limitaccedilotildees
Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei
Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se
a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que
estiveram na base da recolha ou do tratamento
b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))
quando o tratamento for necessariamente fundamentado neste e natildeo exista outro
fundamento legal para o tratamento dos dados
c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o
responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos
prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2
d Os dados foram tratados ilicitamente
e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal
a que o responsaacutevel pelo tratamento esteja sujeito
f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a
crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as
responsabilidades parentais (art 8ordm nordm 1)
Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados
para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para
o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo
ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo
para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de
64 Cf Considerando 65
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
53
funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede
puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo
exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer
o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento
53Esquecimento em linha
O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade
de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo
tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular
solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o
responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou
o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo
A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65
Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada
uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade
ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo
informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo
tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o
operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na
sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras
paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo
Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso
e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de
ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse
econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em
aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse
o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado
por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada
65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
54
pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo
em virtude dessa inclusatildeordquo
Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave
Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos
determinados resultados por parte do motor de busca propriedade daquela aquando da
procura efetuada pelo seu nome
O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o
direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca
No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao
esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca
mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou
orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns
a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos
de supressatildeo de indiviacuteduos
No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que
depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados
natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem
revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em
nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam
intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem
disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes
Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses
dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees
os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por
principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a
supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em
aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta
interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos
direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida
privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm
e 8ordm da Cartardquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
55
6 Direito agrave limitaccedilatildeo do tratamento
O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura
que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel
quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita
ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular
dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a
limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados
pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao
tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento
prevalecem sobre os do titular dos dados
Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada
destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal
notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados
pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular
para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para
defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de
interesse puacuteblico da Uniatildeo ou de um Estado-Membro
7 Direito agrave portabilidade de dados
71Noccedilatildeo
O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de
acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham
fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de
leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem
impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo
eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
56
escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que
lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em
diferentes serviccedilos
Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de
acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade
do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere
Importa ainda salientar que este direito de transmitir esses dados eacute efetuado
independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente
fornecido os dados pessoais
72Requisitos
O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro
pressupostos
a Incidecircncia sobre dados fornecidos pelo titular
b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm
nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte
(ao abrigo do art 6ordm nordm 1 al b)
c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos
e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos
dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular
de dados e
d Tratamento realizado por meios automatizados
No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo
Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do
art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo
idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo
66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo
(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de
abril de 2017 p 3
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
57
Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave
portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que
impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados
organizados em ficheiros manuais
Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo
de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)
Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo
tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados
73Meios teacutecnicos
O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os
dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja
tecnicamente possiacutevelrdquo
Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes
serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades
de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento
sob o controlo do titular dos dadosrdquo 67
Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos
interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido
tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado
ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados
para outro responsaacutevel pelo tratamento
Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no
exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos
que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade
quanto a desejada)
67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e
permitir o compartilhamento de informaccedilotildees
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
58
No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos
Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees
dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador
8 Direito de oposiccedilatildeo
O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais
que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico
incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69
O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados
legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma
obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de
interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))
ou as condiccedilotildees previstas no art 6ordm nordm 4
Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo
de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que
prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos
de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos
requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o
tratamento de dados pessoais
O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular
dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam
respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais
deixam de ser tratados para esse fim (nordm 3)
Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem
direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo
relativamente a decisotildees individuais automatizadas De acordo com este artigo o
69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao
reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
59
responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular
dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento
9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo
definiccedilatildeo de perfis70
Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos
permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a
criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos
O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados
pessoais do titular constantes do sistema informaacutetico daquele
O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo
tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma
medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis
mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos
pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos
relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou
interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos
dados (cf considerando 71)
Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas
decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente
de forma similar
Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees
baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo
possiacuteveis nos termos do art 22ordm quando
a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular
dos dados e o responsaacutevel pelo tratamento
b Autorizadas pela lei de um estado membro
70 Cf definiccedilatildeo constante do art 4ordm nordm 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
60
c Existir consentimento expliacutecito do titular
De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento
deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele
designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a
intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a
decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees
puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de
creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas
10 Limitaccedilotildees aos direitos dos titulares de dados
Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados
existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm
do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade
democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa
seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a
execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila
puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-
Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de
um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede
puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais
prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees
regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda
que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e
g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees
ciacuteveis
71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados
dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um
valor global representando a capacidade de creacutedito do cliente em potencial
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
61
CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE
Secccedilatildeo I Obrigaccedilotildees Gerais
1 Subcontrataccedilatildeo
O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia
inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a
agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as
finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os
meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-
Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua
nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo
E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como
ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que
trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo
Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos
agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo
tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das
regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a
que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de
registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no
tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)
O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo
incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver
cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo
72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do
Regulamento No entanto seraacute adotada a terminologia usada no RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
62
tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no
art 83ordm do RGPD
Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante
cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o
tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73
A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um
documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a
forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a
Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma
violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas
2 Responsabilidade do responsaacutevel pelo tratamento
O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo
tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as
finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das
pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo
tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar
e poder comprovar que o tratamento eacute realizado em conformidade com o presente
regulamentordquo
Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas
fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem
intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)
A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as
necessidades
73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser
levado a cabo internamente 74 Exemplo constante do Anexo 4
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
63
3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito
31 Privacy by design
De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo
ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na
necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um
novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo
de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a
privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As
empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e
procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o
tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados
em causardquo75
Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos
a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas
mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais
meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de
dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o
contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no
que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas
em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da
sua efetiva concretizaccedilatildeo
32 Privacy by default
O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou
ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao
miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a
75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual
Praacutetico 2018 p 36
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
64
recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees
deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais
recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua
acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso
33 Suacutemula
Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o
responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute
por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que
ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no
desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados
pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso
por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados
pessoais completamente desnecessaacuteriosrdquo76
4 Documentaccedilatildeo e registo de atividade de tratamento
O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das
manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo
tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma
detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as
que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros
procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o
cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD
A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada
aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece
que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e
tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o
76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do
CC
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
65
responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute
realizado em conformidaderdquo
Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam
mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento
efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados
natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a
condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm
Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das
atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o
art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se
a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel
conjunto pelo tratamento ou do seu representante bem como do EDP)
b Finalidades dos tratamentos dos dados
c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais
d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados
e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees
internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees
internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas
(se aplicaacutevel)
f Prazos previstos para o apagamento das diferentes categorias de dados
g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila
incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados
pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade
e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de
restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no
caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar
78 Ver exemplo constante do Anexo 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
66
regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a
seguranccedila do tratamento
Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos
das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos
seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte
menores79
Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias
atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do
EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante
as autoridades de proteccedilatildeo de dados
Secccedilatildeo II Seguranccedila dos dados pessoais
1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados
A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em
termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art
32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a
natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos
de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares
o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e
organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta
sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas
a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais
b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer
forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e
dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a
implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo
79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
67
c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico
d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
adotadas
e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo
(art 42ordm)
Ou ainda atraveacutes das seguintes regras organizacionais internas
a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas
obrigaccedilotildees especialmente em mateacuteria de confidencialidade
b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias
c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa
competente ou de acordo com as regras estabelecidas
d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a
autorizaccedilatildeo de acesso
e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela
pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo
f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de
tais protocolos
g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees
ilegais de dados
h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados
i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar
que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas
e funcionem na praacutetica (como auditorias internas ou externas)
A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH
de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do
art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia
retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco
consultas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
68
2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais
Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as
organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e
possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano
de accedilatildeo e de implementaccedilatildeo raacutepida
21 Agrave autoridade de controlo
No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os
responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de
dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas
apoacutes ter tido conhecimento da mesmardquo
Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel
de resultar num risco83 para os direitos e liberdades dos titulares dos dados
Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante
Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute
ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos
Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja
capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos
definidos no Regulamento Esta notificaccedilatildeo deve conter84
a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que
possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as
categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo
b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados
c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais
81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia
agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo
7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em
causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
69
d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para
reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para
mitigar seus possiacuteveis efeitos negativos
Considerando que em alguns casos jaacute mencionados o registo das atividades eacute
obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os
incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados
verificar o seu cumprimento
22 Ao titular dos dados
De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de
representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel
pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem
acessiacutevel e simples sem demora injustificada
Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta
obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado
medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido
aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente
medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a
aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado
medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos
titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um
esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a
violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes
Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados
Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o
tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os
riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos
dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
70
riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez
que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD
mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a
conformidade com o regulamentordquo85
Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo
uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de
tratamento de dados que estejam em conformidade juriacutedica
Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo
tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista
a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm
define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter
obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica
e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento
automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos
dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo
sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala
A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um
parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo
satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada
antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que
existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe
nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD
85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo
de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos
do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados
como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto
de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais
criteacuterios exigiratildeo a AIPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
71
Secccedilatildeo IV Encarregado de proteccedilatildeo de dados
1 Elo de ligaccedilatildeo
Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado
de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)
plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma
novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura
similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A
figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o
cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de
controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os
direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do
tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar
que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de
dados
2 Designaccedilatildeo obrigatoacuteria
Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos
dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos
entidades que controlem regularmente dados pessoais em grande escala entidades que
controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais
relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de
conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO
87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo
menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam
ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do
Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre
os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
72
Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o
subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de
responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com
a legislaccedilatildeo do Estado-Membro designar um EPD90
O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus
ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se
considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais
como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento
realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo
a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo
O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do
subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens
daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser
externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser
interno
3 Funccedilotildees
As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode
exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92
Em termos gerais o EPD deve
a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da
empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees
constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em
vigor na UE ou noutros Estados-Membros
90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses
onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores
outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave
determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o
responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a
questotildees de proteccedilatildeo de dados
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
73
b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de
proteccedilatildeo de dados pessoais
c Realizar auditorias
d Aconselhamento em AIPD
e Colaborar com as autoridades de proteccedilatildeo de dados
f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos
seus direitos
g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade
4 Direitos
Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e
dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD
a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores
b Tempo suficiente para que os EPD desempenhem as suas tarefas
c Apoio adequado em termos de recursos financeiros materiais e humanos sempre
que necessaacuterio
d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber
apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos
e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado
f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade
g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees
Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma
coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
74
CAPIacuteTULO VI SANCcedilOtildeES
1 Corporate Risk
Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser
tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior
fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar
seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador
surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila
da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93
JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um
edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute
sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados
natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)
devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia
juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para
tutela da pessoa humanardquo95 Analisemos o seu regime
2 Sanccedilotildees
21Natureza
Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius
nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm
93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30
laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera
equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute
das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de
crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo
correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais
pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
75
nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal
no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma
contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo
expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo
segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO
isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas
22Quantum das coimas
Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas
a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado para o caso de incumprimento de
obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts
8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo
previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se
refere o art 41ordm nordm 4
b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de
negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior
consoante o montante que for mais elevado estando em causa violaccedilotildees dos
princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos
direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias
previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o
abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2
221 Limites maacuteximos e (natildeo) miacutenimos
Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel
no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a
97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees
correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo
inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
76
aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a
legislaccedilatildeo portuguesa mais concretamente o RGCO)
Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das
coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de
fixar a medida da coima concretamente aplicaacutevel
Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas
da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em
que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade
inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade
previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)
traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo
e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98
A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms
782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a
coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas
divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho
ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto
queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos
limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves
exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar
de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo
nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento
possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade
Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou
no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]
a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de
legalidaderdquo100
98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no
Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo
nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
77
23Ne bis in idem
Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a
entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de
outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de
proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm
9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo
desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito
cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo
de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for
aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm
6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o
Regulamento
Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798
como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais
Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as
multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos
enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o
agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo
do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito
da UE e consequentemente de um regime menos severo para as organizaccedilotildees
Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser
seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais
a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados
lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados
101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA
partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso
tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha
a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele
diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo
e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da
Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
78
pessoais com um agravamento significativo da moldura penal face ao quadro atualmente
vigenterdquo
24 Responsaacuteveis pelas contra-ordenaccedilotildees
Afinal quem satildeo os responsaacuteveis pelas coimas
No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm
nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)
No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD
Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a
quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a
empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm
do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre
praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem
expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de
Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia
aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito
Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas
sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas
integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma
percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio
financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se
considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma
vez exige-se legislaccedilatildeo interna
103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista
na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu
modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente
distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes
nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos
atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos
membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
79
25 Ponderaccedilatildeo na aplicaccedilatildeo
O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos
fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas
251 Princiacutepio da proporcionalidade
O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para
aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a
violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de
controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao
cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica
para determinar se haacute ou natildeo razotildees para aplicar uma coima
252 Fatores
Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o
montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma
seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo
da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de
cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos
sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a
infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas
ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um
coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras
Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na
legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo
econoacutemica do infrator
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
80
253 Como ponderar
Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que
soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou
daqueles em que se impotildee somente medidas corretivas
No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute
europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de
controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e
de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a
importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios
proporcionais e equitativos
3 Margem de discricionariedade dada aos Estados-Membros105
Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo
alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute
referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves
outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento
nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e
tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas
devem ser efetivas proporcionadas e dissuasivasrdquo
Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras
sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo
104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos
representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de
controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um
representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia
normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo
preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados
membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo
e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)
Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo
legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a
estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que
a mateacuteria vinha tratada na Proposta que era o 79ordm
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
81
de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107
Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para
o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento
natildeo previstas nos nordms 4 a 6 do art 83ordm
Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento
torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento
natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute
MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia
da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo
este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo
RGPD
Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em
consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as
autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo
sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi
aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal
para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD
atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente
Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial
mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000
ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da
CNPD
107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta
Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo
de Dadosraquo n ordm1 2015 p 20-35
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
82
CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL
De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio
estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos
e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo
1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de
controlo
O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de
controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras
vias designadamente graciosas ou contenciosas
Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo
necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de
Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar
os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha
sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de
controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo
de dados e a eventuais violaccedilotildees do RGPD
De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo
a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia
habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente
praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que
considere mais conveniente aos seus interesses
Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece
um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada
a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento
e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria
autoridade de controlo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
83
O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a
apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de
reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar
a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo
2 Via judicial
21Contra uma autoridade de controlo
O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees
juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham
coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria
antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa
cujas decisotildees satildeo passiacuteveis de recurso judicial
O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso
agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto
de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito
agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de
informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham
sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses
O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros
respetivos
22Contra um responsaacutevel pelo tratamento ou um subcontratante
Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se
considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias
109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
84
administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto
de estas terem sido utilizadas
O nordm 2 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees
contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio
propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui
igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha
a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for
uma autoridade no exerciacutecio dos seus poderes puacuteblicos
3 Representaccedilatildeo dos titulares dos dados
Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o
exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de
mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo
ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos
nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade
tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os
respetivos fins sejam de interesse puacuteblico
Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera
de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a
reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O
Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional
- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser
mandatado por esses titulares de dados
4 Direito de indemnizaccedilatildeo e responsabilidade
O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia
de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se
ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se
acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
85
responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de
um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110
O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado
perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo
tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas
especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees
liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se
que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o
subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD
traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem
basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar
que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel
No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o
nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a
totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade
de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um
O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe
Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos
da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma
regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais
garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a
aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos
dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger
eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer
utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais
importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um
risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)
(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade
de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e
110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil
Anotado vol I 2017 p 627 e ss
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
86
liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram
transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que
o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo
adequadordquo
Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para
salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe
Harbor por a mesma natildeo dispor destas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
87
CONCLUSAtildeO
Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma
anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente
vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta
Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus
destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que
nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos
indeterminados e na complexidade da teia legislativa
Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que
satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e
fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que
por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do
conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a
ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo
interna que clarifique o regime
Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de
Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave
proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre
circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees
do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito
fundamental e ainda agrave sua evoluccedilatildeo legislativa
Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar
que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees
na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande
medida pela imposiccedilatildeo de avultadas coimas
Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do
regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em
compliance e por conseguinte imunes agraves coimas previstas
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
88
Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de
aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um
papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do
Regulamento
Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares
dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de
direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes
ser dado um maior controlo sobre a sua privacidade
Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para
o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel
pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que
foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir
a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao
exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees
pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das
normas relativas agrave proteccedilatildeo de dados pessoais
Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos
dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a
canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia
de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais
A UE de modo a garantir que cada preceito do Regulamento seja levado na devida
conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte
milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave
proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo
Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de
quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em
termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque
o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de
tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos
organismos puacuteblicos e agraves empresas de maior dimensatildeo
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
89
Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de
apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou
contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o
direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos
materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma
indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos
Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do
direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na
adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos
de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
90
BIBLIOGRAFIA
Livros
1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste
Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163
2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre
o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo
Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6
3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados
Pessoais Almedina Coimbra 2005 ISBN 9789724024240
4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia
Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees
da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5
5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-
Grundverordnung 2017
6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas
sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1
7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)
Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo
Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015
8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de
Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN
9789724019086
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
91
9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante
Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN
9789723221473
10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina
Coimbra 2014 ISBN 9789724055541
11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra
Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589
12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos
Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016
13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de
Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica
2018 ISBN 978-989-768-445-6
14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de
Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5
15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar
Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078
16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento
Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786
17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo
Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo
Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169
18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de
Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
92
19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN
9789724069937
20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A
quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-
2889-8
Outros ficheiros
1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da
Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da
proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel
em httpsedpseuropaeusitesedpfilespublication15-10-
09_gdpr_with_addendum_ptpdf (consultado a 29012019)
2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento
na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017
sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em
httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)
3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave
portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de
2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)
4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da
proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp243rev01_ptpdf (consultado a 07012019)
5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da
autoridade de controlo principal do responsaacutevel pelo tratamento ou do
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
93
subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp244rev01_ptpdf (consultado a 07012019)
6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de
Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute
laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)
2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em
httpswwwcnpdptbinrgpddocswp248rev01_ptpdf (consultado a 06012019)
7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo
da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel
em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a
26012019)
8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de
laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em
16022010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a
02012019)
9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo
(WP 179) adotado em 16122010 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp179_ptpdf (consultado a
05102019)
10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de
consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em
httpswwwgpdpgovmouploadfileotherswp187_ptpdf (consultado a
26112018)
11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de
decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
94
dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade
e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 26112018)
12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da
finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em
httpswwwgpdpgovmouploadfile2017012720170127113421380pdf
(consultado a 01122018)
13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de
anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016083120160831042518381pdf
(consultado a 10112018)
14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de
interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo
7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em
httpswwwgpdpgovmouploadfile2016011220160112121132800pdf
(consultado a 12122018)
15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o
regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento
(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN
2183-7066
16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime
sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do
Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)
Paacutegs 20-35 ISSN 2183-7066
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
95
17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in
Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-
586
Outros links na internet
1 httpswwwcnpdpt
2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679
3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt
4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt
5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt
6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL
ampjur=C2CT2CFampnum=C-
293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ
252CR252C2008E252C252C252C252C252C252C252C252C
252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516
7 httpswwwechrcoeintPageshomeaspxp=home
8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-
proteC3A7C3A3o-de-dadosaspx
9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-
protection2018-reform-eu-data-protection-rules_pt
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
96
JURISPRUDEcircNCIA
1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash
Bodil Lindqvist ECLIEUC2003596 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla
ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash
František Ryneš ECLIEUC20142428 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash
Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em
httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48330amppageIndex=0ampdocla
ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital
Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=150642amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten
ECLIEUC2013355 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=137824amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
6 Acoacuterdatildeo do Tribunal de Justiccedila de 7 de Maio de 2009 processo C-55307 ndash
Rijkeboer ECLIEUC2009293 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde
x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
97
7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni
ECLIEUC2017197 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=188750amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash
Puškaacuter ECLIEUC2017725 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=195046amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
9 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-52406 ndash
Huber ECLIEUC2008724 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76077amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
10 Acoacuterdatildeo do Tribunal de Justiccedila de 24 de Novembro de 2011 processo C-46810 ndash
Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)
ECLIEUC2011777 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=115205amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash
Breyer ECLIEUC2016779 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google
Spain e Google ECLIEUC2014317 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=152065amppageInd
ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
98
13 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Outubro de 2015 processo C-36214 ndash
Schrems ECLIEUC2015650 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=169195amppageInd
ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
14 Acoacuterdatildeo do Tribunal de Justiccedila de 16 de Dezembro de 2008 processo C-7307 ndash
Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=76075amppageInde
x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485
15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014
processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8962322]
16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008
processo 2051103 ndash Case of I v Finland disponiacutevel em
httpshudocechrcoeintspa22itemid22[22001-8751022]
17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008
processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom
disponiacutevel em
httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2
2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]
22itemid22[22001-9005122]
18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014
processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em
httphudocechrcoeintfrei=001-146389
19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009
processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em
httphudocechrcoeintfrei=001-123267
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
99
20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009
processo 3288104 Case of K H and Others v Slovakia disponiacutevel em
httphudocechrcoeintfrei=001-92418
21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006
processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel
em httphudocechrcoeintengi=001-75591
22 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 15 de Dezembro de 2009
processo 64810- Case of Y v Turkey disponiacutevel em
httphudocechrcoeintengi=001-183961
23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012
processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20120085html
24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo
35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos19950574html
25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001
processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza
disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html
26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo
37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20040041html
27 Acoacuterdatildeo do Tribunal Constitucional nordm 782013 de 31 de Janeiro de 2013 processo
62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em
httpwwwtribunalconstitucionalpttcacordaos20130078html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
100
28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014
processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel
em httpwwwtribunalconstitucionalpttcacordaos20140612html
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
101
LEGISLACcedilAtildeO CONSULTADA
1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de
2000 OJ C 326 26102012 p 391ndash407 ELI
httpdataeuropaeuelitreatychar_2012oj
2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na
versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro
3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo
decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto
4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950
aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em
Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978
5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de
dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para
ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e
retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da
Repuacuteblica I Seacuterie-A nordm 19593
6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei
Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-
12
7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social
publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24
8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo
social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro
publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
102
9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de
1995 JO L 281 de 23111995 p 31mdash50 ELI
httpdataeuropaeuelidir199546oj
10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de
2016 JO L 119 de 452016 p 89mdash131 ELI
httpdataeuropaeuelidir2016680oj
11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L
201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj
12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de
2006 JO L 105 de 1342006 p 54mdash63 ELI
httpdataeuropaeuelidir200624oj
13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial
portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj
14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que
lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo
consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de
2016
15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo
que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da
Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05
16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998
Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de
agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24
REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO
103
17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II
Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018
18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e
do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI
httpdataeuropaeuelireg2016679oj
104
ANEXOS
105
ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA
Artigo 35ordm
Utilizaccedilatildeo da informaacutetica
1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam
respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a
finalidade a que se destinam nos termos da lei
2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu
tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua
protecccedilatildeo designadamente atraveacutes de entidade administrativa independente
3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a
convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida
privada e origem eacutetnica salvo mediante consentimento expresso do titular
autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para
processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis
4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais
previstos na lei
5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos
6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a
lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de
protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees
de interesse nacional
7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave
prevista nos nuacutemeros anteriores nos termos da lei
106
ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS
FORMULAacuteRIO
_________________________________________________ (NOME) portador do cartatildeo
de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os
devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de
Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende
exercer (selecionar a opccedilatildeo pretendida)
Direito de acesso
Direito de retificaccedilatildeo
Direito de apagamentoesquecimento
Direito agrave limitaccedilatildeo do tratamento
Direito de portabilidade dos dados
Direito de oposiccedilatildeo
Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas
incluindo a definiccedilatildeo de perfis
Direito a reclamaccedilatildeo
Direito de retirar o seu consentimento
Nos termos e com os seguintes fundamentos
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
Para dar cumprimento ao direito exercido dou expressamente consentimento para a
resposta ser enviada para ____________________________________________________
Data ____________
__________________________________________
(Assinatura conforme documento de identificaccedilatildeo)
107
ANEXO 3 POLIacuteTICA DE PRIVACIDADE
POLIacuteTICA DE PROTECcedilAtildeO DE DADOS
Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter
pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de
Dados
Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o
tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade
Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel
afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de
proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados
(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)
Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm
impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se
prestadas pela leitura da presente poliacutetica
Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais
O Responsaacutevel pelo tratamento dos seus dados pessoais eacute
XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel
Accedilores
Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt
Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como
XXX
O que satildeo dados pessoais
Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e
independentemente do respetivo suporte relativa a uma pessoa singular identificada ou
identificaacutevel (titular dos dados)
108
Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou
indiretamente em especial por referecircncia a um identificador como por exemplo um nome
nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou
mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica
cultural ou social dessa pessoa singular
Como recolhemos os seus dados
Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos
alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos
informaccedilotildees pessoais como dados do seu dispositivo
Que dados pessoais recolhemos
A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos
eou subscriccedilotildees
bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados
pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete
de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail
nuacutemero de telefone e endereccedilo postal)
Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo
forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado
bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade
de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos
de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma
temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica
apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos
Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e
hora de acesso nome do ficheiro transferido volume dos dados transmitidos
indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do
software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao
nosso siacutetio nome do fornecedor de serviccedilo de Internet
109
O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo
de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu
endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters
ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido
presentes no final de cada newsletter
Quais satildeo as finalidades da recolha dos seus dados
Usamos os seus dados pessoais para os seguintes fins
bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos
Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido
os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo
contrato
Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos
administrativos
Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas
para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber
comunicaccedilotildees de marketing
Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos
sugestotildees ou contactos e claro para melhorar os nossos serviccedilos
bull Comunicaccedilotildees de Marketing
Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber
newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo
divulgaccedilatildeo de novos produtos eventos feiras campanhas etc
Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras
empresas para efeitos de marketing a natildeo ser com o seu consentimento
bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus
interesses e necessidades
Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos
serviccedilos agraves suas necessidades e preferecircncias
110
Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website
nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e
preferecircncias
bull Cumprir os nossos objetivos administrativos e comerciais
Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem
contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de
fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e
manutenccedilatildeo de sistemas
bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)
Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto
que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades
Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais
A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais
encontra-se prevista
1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos
seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem
connosco
2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters
pois eacute com base no seu consentimento que as disponibilizaacutemos
3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o
cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos
Por quanto tempo seratildeo conservados os dados
O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para
que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica
Existem no entanto requisitos legais que obrigam a conservar os dados por um
determinado periacuteodo
111
Quais satildeo os direitos enquanto titulares dos dados
Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos
seguintes direitos
1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo
tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou
natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados
pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados
2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do
responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam
respeito
3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o
direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados
pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados
pessoais sem demora injustificada quando se aplique nomeadamente um dos
seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade
que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que
se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se
natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se
ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o
tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais
tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do
direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja
sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade
da informaccedilatildeo
Contudo importa informar que este direito comporta algumas exceccedilotildees
4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do
responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das
seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo
que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento
for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar
112
em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute
natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam
requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito
num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os
motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos
dados
5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento
por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados
pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento
dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse
tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos
dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo
judicial
Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o
titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos
dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o
que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a
comercializaccedilatildeo direta
Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo
direta os dados pessoais deixam de ser tratados para esse fim
6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas
condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam
respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato
estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses
dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados
pessoais foram fornecidos o possa impedir se a) O tratamento se basear no
consentimento ou num contrato e b) O tratamento for realizado por meios
automatizados
7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo
definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma
113
decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a
definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete
significativamente de forma similar
8 Direito de retirar o consentimento se o tratamento dos dados se basear no
consentimento o titular dos dados tem o direito de retirar o seu consentimento em
qualquer altura sem comprometer a licitude do tratamento efetuado com base no
consentimento previamente dado
9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados
10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos
dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade
de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de
Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com
os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash
geralcnpdpt
O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou
excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos
administrativos
Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos
atraveacutes
1 De um pedido enviado por carta registada para
XXX LDA
Rua XXX 9500-000
Ponta Delgada Satildeo Miguel Accedilores
2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida
3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt
114
Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais
Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX
subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais
fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais
Assumimos o compromisso de o proteger
Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e
organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute
realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente
bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi
transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar
como eacute feito o tratamento desses mesmos dados
bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo
sendo tratados para finalidades distintas a menos que exista um claro interesse
superior que o preveja
bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute
necessaacuterio relativamente agraves finalidades para os quais satildeo tratados
bull Os dados satildeo exatos e atualizados sempre que necessaacuterio
bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a
identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as
finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo
arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados
durante um periacuteodo superior ao estritamente necessaacuterio
bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a
proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda
destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe
assistem enquanto titular de dados
bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido
bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados
115
bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais
com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e
organizacionais necessaacuterias para protegecirc-los
Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que
quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de
seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser
atualizados
A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave
presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas
nas nossas Plataformas
Sugerimos assim que as consulte regularmente para estar a par de eventuais
alteraccedilotildees
Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos
116
ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO
CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE
DADOS PESSOAIS
ENTRE --------------------------------------------------------------------------------------------------
PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado
ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------
E -----------------------------------------------------------------------------------------------------------
SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm
XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-
Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato
devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada
ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------
CONSIDERANDO QUE
a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato
principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de
dados pessoais ---------------------------------------------------------------------------------
c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------
d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este
apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
117
adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral
de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de
Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos
dados --------------------------------------------------------------------------------------------
Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo
aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e
condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------
CLAacuteUSULA PRIMEIRA
(Objeto)
1 Define-se como objetivos primordiais deste contrato ------------------------------------
a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo
Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016
relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------
b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -
c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante
como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado
da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------
CLAacuteUSULA SEGUNDA
(Duraccedilatildeo)
1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo
que o contrato principal -----------------------------------------------------------------------
2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo
indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por
qualquer razatildeo ----------------------------------------------------------------------------------
118
CLAacuteUSULA TERCEIRA
(Natureza)
O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um
contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta
aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------
CLAacuteUSULA QUARTA
(Finalidade)
1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel
pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato
principal nomeadamente para ---------------------------------------------------------------
a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes
vendedores de potenciais clientes compradores e de comerciais -----------------------
b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das
Financcedilas ----------------------------------------------------------------------------------------
CLAacuteUSULA QUINTA
(Tipo de dados pessoais e as categorias dos titulares dos dados)
1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------
a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que
satildeo proprietaacuterios -------------------------------------------------------------------------------
b) Dos potenciais compradores nome contactos --------------------------------------------
c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------
CLAacuteUSULA SEXTA
(Obrigaccedilatildeo de apresentar garantias e defender direitos)
1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento dos dados seja conforme com os requisitos
do RGPD ---------------------------------------------------------------------------------------
119
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
CLAacuteUSULA SEacuteTIMA
(Contrataccedilatildeo de outro subcontratante)
1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo
tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --
a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel
pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero
ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo
tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------
2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees
especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo
impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante
nomeadamente ---------------------------------------------------------------------------------
a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas
adequadas de forma a que o tratamento seja conforme com os requisitos do presente
Regulamento -----------------------------------------------------------------------------------
b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------
3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo
de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o
responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro
subcontratante ----------------------------------------------------------------------------------
CLAacuteUSULA OITAVA
(Instruccedilotildees)
No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees
documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias
de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a
fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse
caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a
lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------
120
CLAacuteUSULA NONA
(Confidencialidade das pessoas autorizadas)
1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em
particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da
prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se
sob sua total responsabilidade a -------------------------------------------------------------
a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo
com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma
que exceda a referida finalidade -------------------------------------------------------------
b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem
mesmo para sua conservaccedilatildeo ----------------------------------------------------------------
c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um
compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais
de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel
pelo tratamento --------------------------------------------------------------------------------
2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve
conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato
principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios
que intervecircm em qualquer fase do processamento de dados pessoais ------------------
3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua
relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo
depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------
CLAacuteUSULA DEacuteCIMA
(Seguranccedila do Tratamento)
1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o
acircmbito o contexto e as finalidades do tratamento bem como os riscos de
probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas
singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas
para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que
for adequado -----------------------------------------------------------------------------------
121
a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------
b) A capacidade de assegurar a confidencialidade integridade disponibilidade e
resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------
d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas
teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------
e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo
perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------
f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e
privacidade dos dados pessoais -------------------------------------------------------------
g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------
h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de
formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -
i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam
o tratamento de dados pessoais -------------------------------------------------------------
j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia
para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento
diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de
categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas
convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados
biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual
de uma pessoa) --------------------------------------------------------------------------------
k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de
seguranccedila em mateacuteria de dados pessoais --------------------------------------------------
l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao
responsaacutevel pelo tratamento -----------------------------------------------------------------
m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o
tratamento de dados pessoais ---------------------------------------------------------------
n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das
revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------
122
o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo
armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------
p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo
documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou
destruiacutedos --------------------------------------------------------------------------------------
q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a
dados pessoais --------------------------------------------------------------------------------
r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais
s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais
nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo
encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------
t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na
transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------
u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados
pessoais (logs) --------------------------------------------------------------------------------
v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou
alteraccedilatildeo ---------------------------------------------------------------------------------------
2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta
designadamente os riscos apresentados pelo tratamento em particular devido agrave
destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo
autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro
tipo de tratamento -----------------------------------------------------------------------------
3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que
qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo
tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu
tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for
exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------
CLAacuteUSULA DEacuteCIMA PRIMEIRA
(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de
medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo
123
de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus
direitos ---------------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEGUNDA
(Assistecircncia para cumprimento de obrigaccedilotildees)
O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de
assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave
autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de
impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a
36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do
subcontratante -------------------------------------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA TERCEIRA
(Consequecircncias do teacutermino do contrato)
1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante
deveraacute imediatamente ------------------------------------------------------------------------
a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal
ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos
independentemente do suporte em que tenha sido facultada ----------------------------
b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha
informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao
responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao
abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------
CLAacuteUSULA DEacuteCIMA QUARTA
(Obrigaccedilotildees)
1 O subcontratante obriga-se ainda a ---------------------------------------------------------
a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para
demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------
b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo
responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------
124
c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma
instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-
Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------
CLAacuteUSULA DEacuteCIMA QUINTA
(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)
O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo
poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas
obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------
CLAacuteUSULA DEacuteCIMA SEXTA
(Incumprimento)
O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de
garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa
podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais
violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------
CLAacuteUSULA DEacuteCIMA SETIMA
(Responsabilidade)
O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)
e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades
administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de
procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra
entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de
qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em
mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------
125
CLAacuteUSULA DEacuteCIMA OITAVA
(Alteraccedilatildeo)
Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos
deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se
proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por
ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----
CLAacuteUSULA DEacuteCIMA NONA
(Foro convencional)
Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia
expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade
interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------
CLAacuteUSULA VIGEacuteSIMA
(Legislaccedilatildeo subsidiaacuteria)
Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------
O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos
valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem
reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as
demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e
por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal
falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se
ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado
por escrito por qualquer dos Outorgantes -----------------------------------------------------------
Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas
126
correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente
contrato --------------------------------------------------------------------------------------------------
Ponta Delgada 25 de Maio de 2018
Pelo Responsaacutevel pelo Tratamento
_______________________________
Pelo subcontratante
_______________________________
127
ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO
TRATAMENTO
Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-
cnpdpt
128
129
130
131
132
133
134
135
136
137
ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE
138
139
140
141
142
143
144
145
146
ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm
147
148
149
150
151
152
ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP
CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm
153
154
155
156
ANEXO 9 QUEIXA PERANTE A CNPD
CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm