O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se em todos os países da União Europeia desde 25 de maio de 2018. As empresas que não cumprirem as normas estão sujeitas a coimas até 20 milhões de euros ou 4% do volume de negócios anual. O RGPD surgiu para proteger os dados pessoais dos cidadãos, num contexto de crescente digitalização e recolha de informação sem consentimento claro. Este regulamento fortalece os direitos dos titulares dos dados e impõe novas obrigações às organizações.

O que são dados pessoais?

Dados pessoais são todas as informações que identificam ou tornam identificável uma pessoa singular. Incluem, por exemplo: nome, morada, e-mail ou número de telefone número de identificação civil ou fiscal dados bancários e de localização endereço IP ou cookies, quando associados a uma pessoa dados de saúde, genéticos ou biométricos imagens, voz ou dados recolhidos por videovigilância Mesmo dados aparentemente genéricos podem ser considerados pessoais, se permitirem identificar direta ou indiretamente um indivíduo. O RGPD protege todos estes dados e impõe regras rigorosas para o seu tratamento.

Quando se aplica o RGPD?

O RGPD aplica-se a todas as empresas e entidades que tratam dados de residentes da UE, independentemente da localização geográfica da organização. Ou seja, até empresas fora da UE que prestem serviços a cidadãos europeus têm de cumprir este regulamento.

Aplica-se a pequenas empresas?

Sim, mas com algumas exceções. Empresas com menos de 250 trabalhadores só precisam de manter registos se: o tratamento for regular, implicar risco elevado, ou envolver dados sensíveis.

O que muda para as empresas?

Todas as organizações que tratem dados pessoais devem fazer adaptações internas para garantir a conformidade com o RGPD: Nomear um responsável pelo tratamento de dados (“controller”) e eventuais subcontratantes (“processors”). O controller define como e porquê tratar os dados. O processor executa o tratamento. Esta relação tem de estar definida por contrato. É essencial criar procedimentos de proteção de dados para todas as fases de tratamento, como por exemplo: pseudonimização para garantir o anonimato dos dados pessoais, minimização dos dados recolhidos, formação da equipa, e formalização de políticas internas. As atividades de tratamento devem ser registadas com: contactos do responsável, finalidades do tratamento, categorias dos dados e titulares, prazos de retenção, transferências internacionais de dados. As empresas devem assegurar a confidencialidade, integridade e resiliência dos sistemas. Devem garantir a recuperação dos dados após incidentes físicos ou técnicos. Tratamentos com risco elevado exigem uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). É obrigatória em casos de decisões automatizadas ou definição de perfis.

O DPO (Data Protection Officer) é obrigatório quando: há controlo regular e sistemático de dados em larga escala, se tratam dados sensíveis, ou se trata de uma entidade pública. O DPO aconselha, verifica a conformidade e forma as equipas sobre boas práticas de proteção de dados.

Quais são os direitos dos titulares de dados?

Os titulares devem ser informados de forma clara, concisa e acessível. Têm o direito de aceder, retificar, apagar ou transferir os seus dados. Também podem limitar ou opor-se ao tratamento, quando aplicável.

Exemplos de violação de dados pessoais

A violação de dados pessoais ocorre quando há acesso, alteração, perda ou divulgação não autorizada de dados pessoais. Alguns exemplos comuns incluem: Envio de e-mails com dados de clientes visíveis para todos os destinatários Perda ou roubo de dispositivos com informação pessoal não encriptada Acesso indevido de colaboradores a ficheiros com dados sensíveis Divulgação de dados de saúde sem consentimento Publicação de dados pessoais em plataformas digitais sem autorização

O que fazer em caso de violação de dados?

Se houver uma falha de segurança, a entidade tem 72 horas para notificar a CNPD. A notificação deve incluir: contactos do responsável, natureza da violação, número de titulares e categorias de dados afetados, consequências da falha, medidas tomadas para mitigar o impacto.

O incumprimento do RGPD leva a multas?

Sim, as coimas podem atingir os 20 milhões de euros ou 4% do volume de negócios global, o que for mais elevado. Nos casos que envolvam dados de menores, o valor pode ir até 2% do volume de negócios. A CNPD avaliará a gravidade, a duração da infração e o número de titulares afetados.

Quem fiscaliza o cumprimento do RGPD em Portugal?

A autoridade nacional é a Comissão Nacional de Proteção de Dados (CNPD). As empresas devem cooperar com a CNPD sempre que solicitado.

RGPD: o que é e FAQs sobre proteção de dados

RGPD: O que é?

O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se em todos os países da União Europeia desde 25 de maio de 2018.
As empresas que não cumprirem as normas estão sujeitas a coimas até 20 milhões de euros ou 4% do volume de negócios anual.

O RGPD surgiu para proteger os dados pessoais dos cidadãos, num contexto de crescente digitalização e recolha de informação sem consentimento claro.
Este regulamento fortalece os direitos dos titulares dos dados e impõe novas obrigações às organizações.
O que são dados pessoais?
Dados pessoais são todas as informações que identificam ou tornam identificável uma pessoa singular.
Incluem, por exemplo:
- nome, morada, e-mail ou número de telefone
- número de identificação civil ou fiscal
- dados bancários e de localização
- endereço IP ou cookies, quando associados a uma pessoa
- dados de saúde, genéticos ou biométricos
- imagens, voz ou dados recolhidos por videovigilância
Mesmo dados aparentemente genéricos podem ser considerados pessoais, se permitirem identificar direta ou indiretamente um indivíduo.
O RGPD protege todos estes dados e impõe regras rigorosas para o seu tratamento.
Quando se aplica o RGPD?

O RGPD aplica-se a todas as empresas e entidades que tratam dados de residentes da UE, independentemente da localização geográfica da organização.
Ou seja, até empresas fora da UE que prestem serviços a cidadãos europeus têm de cumprir este regulamento.
Aplica-se a pequenas empresas?
Sim, mas com algumas exceções.
Empresas com menos de 250 trabalhadores só precisam de manter registos se:
- o tratamento for regular,
- implicar risco elevado,
- ou envolver dados sensíveis.
O que muda para as empresas?
Todas as organizações que tratem dados pessoais devem fazer adaptações internas para garantir a conformidade com o RGPD:
- Nomear um responsável pelo tratamento de dados (“controller”) e eventuais subcontratantes (“processors”).
- O controller define como e porquê tratar os dados. O processor executa o tratamento.
- Esta relação tem de estar definida por contrato.
É essencial criar procedimentos de proteção de dados para todas as fases de tratamento, como por exemplo:
- pseudonimização para garantir o anonimato dos dados pessoais,
- minimização dos dados recolhidos,
- formação da equipa,
- e formalização de políticas internas.
As atividades de tratamento devem ser registadas com:
- contactos do responsável,
- finalidades do tratamento,
- categorias dos dados e titulares,
- prazos de retenção,
- transferências internacionais de dados.
As empresas devem assegurar a confidencialidade, integridade e resiliência dos sistemas. Devem garantir a recuperação dos dados após incidentes físicos ou técnicos.

Tratamentos com risco elevado exigem uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). É obrigatória em casos de decisões automatizadas ou definição de perfis.
DPO: o que é?
O DPO (Data Protection Officer) é obrigatório quando:
- há controlo regular e sistemático de dados em larga escala,
- se tratam dados sensíveis,
- ou se trata de uma entidade pública.
O DPO aconselha, verifica a conformidade e forma as equipas sobre boas práticas de proteção de dados.
Quais são os direitos dos titulares de dados?

Os titulares devem ser informados de forma clara, concisa e acessível.
Têm o direito de aceder, retificar, apagar ou transferir os seus dados. Também podem limitar ou opor-se ao tratamento, quando aplicável.
Exemplos de violação de dados pessoais
A violação de dados pessoais ocorre quando há acesso, alteração, perda ou divulgação não autorizada de dados pessoais.
Alguns exemplos comuns incluem:
- Envio de e-mails com dados de clientes visíveis para todos os destinatários
- Perda ou roubo de dispositivos com informação pessoal não encriptada
- Acesso indevido de colaboradores a ficheiros com dados sensíveis
- Divulgação de dados de saúde sem consentimento
- Publicação de dados pessoais em plataformas digitais sem autorização
O que fazer em caso de violação de dados?
Se houver uma falha de segurança, a entidade tem 72 horas para notificar a CNPD.

A notificação deve incluir:
- contactos do responsável,
- natureza da violação,
- número de titulares e categorias de dados afetados,
- consequências da falha,
- medidas tomadas para mitigar o impacto.
O incumprimento do RGPD leva a multas?

Sim, as coimas podem atingir os 20 milhões de euros ou 4% do volume de negócios global, o que for mais elevado.
Nos casos que envolvam dados de menores, o valor pode ir até 2% do volume de negócios.
A CNPD avaliará a gravidade, a duração da infração e o número de titulares afetados.
Quem fiscaliza o cumprimento do RGPD em Portugal?

A autoridade nacional é a Comissão Nacional de Proteção de Dados (CNPD).
As empresas devem cooperar com a CNPD sempre que solicitado.

Na Randstad, a proteção dos dados pessoais é uma prioridade. Atuamos em conformidade com o RGPD, garantindo transparência, segurança e respeito pelos direitos dos titulares. Saiba mais sobre as nossas práticas de privacidade.

tags:

RGPD: O que é?