Está a ler o nosso guia para os conceitos básicos de GDPR, desenvolvido apenas para si. Poderá ajudar a rever os princípios do novo Regulamento Geral de Protecção de Dados da UE.
O que é o GDPR?
A partir de 24 de maio de 2016, o novo Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor.
Os regulamentos previstos serão aplicados a partir de 25 de maio de 2018 e envolverão associações, cidadãos, empresas, trabalhadores independentes e entidades públicas.
O objetivo é definir regras mais claras e transparentes sobre o processamento de dados, violação de dados e transmissão de dados fora da Comunidade Europeia.
A nova legislação altera algumas definições sobre privacidade e processamento de dados, pelo que sugerimos que leia o nosso guia de conceitos básicos sobre o GDPR.
Dados Pessoais, Processamento de Dados e Consentimento do Titular de Dados
Em primeiro lugar: precisa de saber que o GDPR diz respeito aos seus dados pessoais, que se referem a «qualquer informação relacionada com uma pessoa singular identificada ou identificável (‘titular de dados’); uma pessoa singular identificável é alguém que pode ser identificado, diretamente ou indiretamente, particularmente por um identificado como o nome, um número de identificação, dados de localização, um identificador online ou a um, ou mais, fatores especifícos da identidade física, fisiológica, genética, mental, económica, cultural ou social da pessoa física».
Os dados podem ser ‘processados’, mas o que significa ‘processamento de dados‘? Diz respeito a «qualquer operação, ou conjunto de operações, realizadas sobre os dados pessoais, ou conjuntos de dados pessoais, através de meios automáticos, ou não, como a recolha, gravação, organização, estruturação, armazenamento, adaptação ou alteração, obtenção, consulta, uso, divulgação por transmissão ou tornando disponível de qualquer outra forma, alinhamento ou combinação, restrição, eliminação ou destruição».
Em conformidade com este novo regulamento, é necessário um consenso real, não ambíguo e explícito relativamente ao Processamento de Dados. Em conformidade com o GDPR, o consenso do sujeito de dados significa «qualquer indicação voluntária, específica, informada e não ambígua do desejo do titular dos dados, através do qual ele/ela, através de uma afirmação ou ação afirmativa, significa o acordo relativamente ao processamento dos seus dados pessoais».
Criação de Perfis, Controlador e Processador
É obrigatório informar o titular dos dados de forma clara e transparente, que afeta atividades de web marketing, tais como Criação de Perfis. De acordo com o GDPR, a Criação de Perfis diz respeito a «qualquer forma de tratamento automatizado de dados pessoais que consiste no uso de dados pessoais para avaliar determinados aspectos pessoais relacionados com uma pessoa singular, em particular para analisar ou prever aspectos relativos ao desempenho dessa pessoa singular no trabalho, situação económica, saúde, preferências pessoais interesses, credibilidade, comportamento, localização ou movimentos».
O GDPR garante ao titular dos dados o direito de se opor às atividades de criação de perfise, além disso, a lei reconhece o direito de eliminar (‘direito a ser esquecido’), de fato, o “titular dos dados terá o direito de solicitar, junto do controlador, a eliminação dos seus dados pessoais, sem qualquer demora, e o controlador terá a obrigação de eliminar os dados pessoais, sem qualquer demora».
Anteriormente referimos o termo controlador, mas quem é essa pessoa? O controlador é «a pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que, por si ou em conjunto com outros, determinar os propósitos e meios do processamento de dados pessoais; nos casos em que os propósitos e meios de tal processamento sejam determinados por leis da União ou de um Estado-Membro, o controlador ou os critérios específicos para a sua nomeação poderão ser definidos pela lei da União ou do Estado-Membro».
Como suporte ao controlador, a firma pode indicar um processador, que é «uma pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que processa os dados pessoais em nome do controlador».