Para efeitos do presente regulamento, entende-se por:
(1) |
«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular; |
(2) |
«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição; |
(3) |
«Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro; |
(4) |
«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações; |
(5) |
«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável; |
(6) |
«Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico; |
(7) |
«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro; |
(8) |
«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes; |
(9) |
«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento; |
(10) |
«Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais; |
(11) |
«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento; |
(12) |
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento; |
(13) |
«Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa; |
(14) |
«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos; |
(15) |
«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde; |
(16) |
«Estabelecimento principal»:
|
(17) |
«Representante», uma pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, nos termos do artigo 27.o, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento; |
(18) |
«Empresa», uma pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica; |
(19) |
«Grupo empresarial», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas; |
(20) |
«Regras vinculativas aplicáveis às empresas», as regras internas de proteção de dados pessoais aplicadas por um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro para as transferências ou conjuntos de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade económica conjunta; |
(21) |
«Autoridade de controlo», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51.o; |
(22) |
«Autoridade de controlo interessada», uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo facto de:
|
(23) |
«Tratamento transfronteiriço»:
|
(24) |
«Objeção pertinente e fundamentada», uma objeção a um projeto de decisão que visa determinar se há violação do presente regulamento ou se a ação prevista relativamente ao responsável pelo tratamento ou ao subcontratante está em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advêm do projeto de decisão para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre circulação de dados pessoais no território da União; |
(25) |
«Serviços da sociedade da informação», um serviço definido no artigo 1.o, n.o 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (19); |
(26) |
«Organização internacional», uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza. |
Um cookie é um ficheiro de texto que permite armazenar ou aceder a informação no dispositivo do utilizador e, por vezes, recolher dados sobre o utilizador.
A publicidade baseada no comportamento do utilizador envolve frequentemente o tratamento de dados pessoais.
A publicidade comportamental envolve normalmente a gestão de endereços IP e o tratamento identificadores únicos através do cookie.
A informação contida no contexto da publicidade comportamental diz respeito às características ou comportamento de um indivíduo e é utilizada para influenciar esse indivíduo em particular. Esta informação poderá ser ligada à informação directamente identificável pessoalmente fornecida pelo titular dos dados.
Esta é uma lista de diferentes tipos de dados pessoais que uma organização tratare as finalidades para as quais os dados são tratar. Isto é semelhante aos registos de actividades de tratamento, que o artigo 30 da RGPD exige que as organizações mantenham.
Uma empresa deve ter políticas de conservação de dados que especifiquem como a organização deve conservar os dados pessoais e quando os deve apagar.
A minimização dos dados é um dos princípios descritos no artigo 5, que diz que os dados pessoais só devem ser recolhidos e tratarna medida do necessário para a sua finalidade específica.
O mapeamento de dados identifica e documenta o fluxo de dados pessoais dentro de uma organização e as relações entre as diferentes actividades de tratamento dados. Este é um tratar necessário para manter os registos necessários das actividades de tratamento.
A classificação dos dados classifica os dados de acordo com a sua sensibilidade e o nível de protecção de que necessita. Esta é uma parte integrante dos registos das actividades de tratamento e é especialmente importante para a criação de avaliações de risco.
A Segurança da Informação consiste em pôr em prática medidas para proteger a informação contra o acesso, utilização, divulgação ou destruição não autorizados. A segurança da informação é um campo dentro da segurança informática, e as regras da RGPD fazem parte da segurança da informação de uma empresa.
A maioria das empresas são obrigadas a ter políticas de protecção de dados em vigor. São um conjunto de directrizes que delineia a abordagem de uma organização à protecção de dados e estabelece as medidas em vigor para proteger os dados pessoais.
Uma tecnologia que aumenta a privacidade minimiza a recolha e o tratamento de dados pessoais ou torna mais difícil a identificação de indivíduos a partir dos seus dados.
O titular dos dados é uma pessoa sobre a qual são tratardados pessoais. Uma empresa registará normalmente informações sobre clientes e empregados, pelo que estes são “sujeitos de dados” no contexto da RGPD.
Os registos de actividades de tratamento mapeiam os tratarda empresa no tratamento dados pessoais. Existem requisitos específicos para este registo de actividades de tratamento, e estes são delineados no artigo 30.
Por lei, todos os que tratardados pessoais devem ter este registo de actividades de tratamento actualizado e mantido.
Uma avaliação de risco identifica e avalia os potenciais riscos para a privacidade dos indivíduos.
As organizações devem realizar uma avaliação de risco quando tratamento dados pessoais para identificar e mitigar quaisquer possíveis riscos para a privacidade dos indivíduos.
A avaliação de risco deve considerar as potenciais ameaças à privacidade dos indivíduos.
A avaliação deve incluir os tipos de dados pessoais e as finalidades para as quais os dados estão a ser tratar.
A avaliação do risco deve ser realizada regularmente, revista e actualizada, conforme necessário.
As organizações devem também documentar os resultados da sua avaliação de riscos, incluindo quaisquer medidas que tenham tomado para mitigar os riscos identificados. Isto demonstrará a conformidade com o RGPD.
A anonimização é o tratar de tornar os dados anónimos através da remoção ou obscurecimento de qualquer informação utilizada para identificar indivíduos. Deve ser impossível identificar o sujeito dos dados após a anonimização.
A avaliação de impacto é uma versão alargada da avaliação de risco.
Deve ser realizada se uma avaliação de risco mostrar que o tratamento de dados pessoais envolve um risco elevado. Existem requisitos particulares no RGPD relativamente à realização de uma avaliação de impacto.
Um Responsável pelo tratamento deve concordar com o seu tratarsobre a forma como os dados pessoais são tratar. Este acordo deve descrever as condições relativas à segurança do tratamento dos dados do Responsável pelo tratamento.
O Responsável pelo tratamento deve poder documentar este acordo e que este está em conformidade com a RGPD. Por conseguinte, o Responsável pelo tratamento deverá também controlar o cumprimento deste acordo por parte do tratar.
O RGPD descreve sete princípios de tratamento dados sólidos. Os princípios fornecem informações sobre a forma como os dados pessoais devem ser tratar. Pode encontrar os princípios no artigo 5 do RGPD.
A RGPD é basicamente sobre segurança da informação.
A segurança da informação é uma disciplina multidisciplinar que envolve TI, direito, e tratarempresariais, sobre a protecção da informação, que, por exemplo, pode ser em software e hardware.
A disciplina visa assegurar a informação, para que não seja comprometida, por exemplo, pessoas não autorizadas não devem poder aceder à informação, os dados devem ser exactos, e os dados devem estar disponíveis quando necessário.
A manutenção da confidencialidade, integridade e disponibilidade da sua informação pode impedir que a mesma seja comprometida.
A confidencialidade faz parte da tríade de segurança da informação CIA (Confidencialidade, Integridade e Disponibilidade), assegurando que a informação sensível só é acessível a quem está autorizado a ver ou a utilizar a informação. Controlos como senhas, autenticação e permissões são ferramentas para restringir o acesso aos dados aos utilizadores a que se destinam.
A integridade faz parte da tríade de segurança da informação da CIA (Confidencialidade, Integridade e Disponibilidade). Deve-se manter a integridade dos dados para que ninguém possa alterar as informações sem a devida autorização e segurança. Os dados devem ser exactos e fiáveis.
A disponibilidade faz parte da tríade de segurança da informação da CIA (Confidencialidade, Integridade e Disponibilidade). Refere-se à capacidade dos utilizadores autorizados de acederem à informação quando necessário.
A engenharia social utiliza manipulação ou engano para influenciar indivíduos a divulgar informação sensível ou realizar acções que podem não ser do seu melhor interesse. É um tipo de cibercrime que depende da exploração das emoções humanas e da confiança, em vez de vulnerabilidades técnicas.
A privacidade por defeito é protecção por defeito.
Um exemplo é uma aplicação de software que protege o tratamento de dados pessoais por defeito. Em vez de ligar uma característica de identificação de 2 factores, deveria estar ligada por defeito.
A privacidade desde a concepção requer que os novos sistemas e tratarsejam concebidos tendo em mente a protecção de dados desde o início. A protecção de dados não deve ser acrescentada mais tarde, mas sim factorizada na fase de concepção.
Um responsável pela protecção de dados garante que uma organização cumpre as leis e regulamentos de protecção de dados.
O RPD é um ponto de contacto entre a organização e a autoridade de controlo e organiza internamente as questões relativas à protecção de dados.
O RGPD requer o DPE para organizações específicas que lidam com grandes quantidades de dados pessoais.
As responsabilidades de um RPD variam em função da dimensão e complexidade da organização e da natureza do seu tratamento de dados pessoais.
A portabilidade dos dados é o direito dos sujeitos dos dados, de acordo com o artigo 20. O titular dos dados tem o direito de receber uma cópia dos dados pessoais que forneceu ao Responsável pelo tratamento num formato de ficheiro estruturado, que poderia ser utilizado para transferir os dados para outro fornecedor.
O conceito de portabilidade de dados é concebido para dar aos indivíduos mais controlo sobre os seus dados.
Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.
Once you have submitted your details, you’ll be our top priority!