1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
(a) |
O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas; |
(b) |
O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados; |
(c) |
O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; |
(d) |
O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; |
(e) |
O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento; |
(f) |
O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança. |
O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.
2. Os Estados-Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.° 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.
3. O fundamento jurídico para o tratamento referido no n.° 1, alíneas c) e e), é definido:
(a) |
Pelo direito da União; ou |
(b) |
Pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito. |
A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.° 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado-Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.
4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados-Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.°, n.° 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:
(a) |
Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior; |
(b) |
O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento; |
(c) |
A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.°, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.°; |
(d) |
As eventuais consequências do tratamento posterior pretendido para os titulares dos dados; |
(e) |
A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização. |
Os dados pessoais podem sempre ser tratarse a pessoa em causa tiver dado o seu consentimento.
No entanto, para que o consentimento seja válido, deve ser voluntário, específico, informado e inequívoco. Por conseguinte, o consentimento não pode ser dado implicitamente, e não devem ser associadas consequências adversas à não concessão do consentimento.
Deve ser sempre possível retirar o consentimento. O consentimento é, portanto, por vezes, apenas a base jurídica mais apropriada. Além disso, se tiver iniciado o tratamento com base no consentimento, está normalmente vinculado pela finalidade para a qual a pessoa em causa foi informada quando obteve o consentimento.
O termo “consentimento” é também amplamente utilizado, e o significado e os requisitos de validade podem variar. Por exemplo, o consentimento de protecção de dados não é utilizado nos cuidados de saúde, em que a pessoa em causa foi autorizada a não participar no tratamento por lei ou por outros meios.
No entanto, se basear o seu tratamento de dados pessoais no consentimento, deve cumprir os requisitos para o consentimento ao abrigo da RGPD.
O artigo 6(1)(b) da RGPD prevê que o tratamento é lícito se for necessário para a execução de um contrato no qual a pessoa em causa é parte ou para a implementação de medidas tomadas a pedido da pessoa em causa antes da celebração de um contrato.
Relativamente ao nº 1, alínea b), do artigo 6º do Regulamento, preâmbulo considerando nº. 44, o tratamento deve ser considerado legal quando necessário no contexto de um contrato ou da sua conclusão prevista.
O tratamento legal de dados pessoais é frequentemente efectuado devido a uma necessidade contratual.
Quando vende um serviço ou produto a um cliente, terá de tratar os seus dados de contacto para tratar seu pedido. Neste caso, a sua base legal para tratamento os seus dados pessoais relativos à RGPD seria o artigo 6(1)(b).
O emprego será uma relação contratual; por conseguinte, o artigo 6(1)(b) poderá também ser relevante neste contexto.
Em particular, no que diz respeito ao direito do trabalho, o n.º 1 do artigo 88.º do RGPD prevê que os Estados-Membros podem estabelecer por lei ou por convenção colectiva disposições mais específicas para assegurar a protecção dos direitos e liberdades relativos ao tratamento dos dados dos trabalhadores no contexto do emprego.
O artigo 6(1)(c) do Regulamento prevê que o tratamento é legal se for necessário para o cumprimento de uma obrigação legal a que o Responsável pelo tratamento esteja sujeito.
No que diz respeito ao artigo 6(1)(c) da RGPD, o considerando 45 do preâmbulo declara que se o tratamento for efectuado em conformidade com uma obrigação legal a que o Responsável pelo tratamento está sujeito ou se o tratamento for necessário para o desempenho de uma tarefa de interesse público ou no exercício da autoridade pública, o tratamento deve ter uma base jurídica na legislação da União ou dos Estados-Membros.
O RGPD não implica que seja necessária uma lei específica para cada operação tratamento.
Uma lei pode ser suficiente como base para várias actividades tratamento dados estabelecidas sobre uma obrigação legal que incumbe ao Responsável pelo tratamento, por exemplo, regras contabilísticas. Ou, pode ser que o tratamento seja necessário para realizar uma tarefa de interesse público ou o exercício da autoridade oficial.
O artigo 6(1)(c) é directamente aplicável como base para o tratamento, desde que a obrigação legal decorra, por exemplo, da legislação nacional.
Todas as empresas ou organizações são obrigadas a fazer a contabilidade e a apresentar a sua contabilidade anual. Por conseguinte, terão de tratar dados pessoais, e o artigo 6(1)(c) seria o meio legal para tratamento destes dados pessoais.
Definição de interesses vitais: Um interesse vital é quando o interesse é de importância substancial e vital para a pessoa a quem os dados dizem respeito.
O artigo 6(1)(d) do Regulamento prevê que o tratamento é lícito se for necessário para proteger os interesses vitais da pessoa em causa ou de outra pessoa.
Relativamente ao nº 1, alínea d), do artigo 6º do Regulamento, preâmbulo considerando nº. 46 declara que o tratamento de dados pessoais necessários para proteger um interesse fundamental para a vida da pessoa em causa ou de outra pessoa deve ser considerado lícito.
Tratamento de dados pessoais com base em dados de outra pessoa singular
os interesses vitais só devem, em princípio, ter lugar se o tratamento não puder claramente basear-se em qualquer outro fundamento jurídico.
Alguns tipos de tratamento podem servir tanto interesses societais críticos como os interesses vitais do sujeito dos dados, por exemplo, o tratamento necessário por razões humanitárias,
Um hospital seria autorizado a contactar o parceiro do doente para entrar em contacto com o doente se fosse de interesse vital para a saúde do doente. Um interesse vital poderia ser se o paciente estivesse à espera de um novo órgão.
O artigo 6(1)(e) da RGPD prevê que o tratamento é legal quando for necessário para o desempenho de uma tarefa de interesse público ou quando o exercício da autoridade oficial for investido no Responsável pelo tratamento.
O artigo 6(1)(e) raramente faria os fundamentos para o tratamento dados pessoais para uma empresa típica, mas preferiria ser o meio de tratamento legal para as autoridades públicas.
O artigo 6(1)(e) é directamente aplicável como base para o tratamento, desde que o Responsável pelo tratamento desempenhe uma função de interesse público ou se enquadre no exercício da autoridade oficial investida no Responsável pelo tratamento confiado.
O artigo 6(1)(e) não exige necessariamente que a tarefa que exige tratamento dados pessoais seja explicitamente conferida à autoridade por lei.
Por exemplo, é natural que o Ministério da Educação possa tratar dados pessoais, mesmo que não exista um mandato legal explícito que confie a tarefa ao Ministério. Isto poderia ser assim, uma vez que o Ministério seria a autoridade central numa tarefa relacionada com a inscrição digital e o pedido de admissão aos programas.
Pode tratar dados pessoais se for necessário para si como Responsável pelo tratamento, ou um terceiro, para prosseguir um interesse legítimo. Só o poderá fazer desde que não se sobreponha aos interesses ou direitos do titular dos dados, o que exigiria a protecção dos seus dados pessoais, principalmente quando o titular dos dados é uma criança.
Pode existir um interesse legítimo quando existe uma relação relevante e adequada entre a pessoa em causa e o Responsável pelo tratamento, por exemplo, se a pessoa em causa for um cliente ou empregado do Responsável pelo tratamento.
A existência de um interesse legítimo requer uma avaliação cuidadosa, onde se deve ter em consideração o tempo e o contexto da recolha de dados pessoais.
Uma pessoa em causa deve razoavelmente esperar que tratamento para esse fim possa ter lugar. Em particular, os interesses e direitos fundamentais da pessoa em causa podem prevalecer sobre os interesses do Responsável pelo tratamento se os dados pessoais forem tratarem circunstâncias em que a pessoa em causa não espera razoavelmente um tratamento posterior.
O tratamento de dados pessoais estritamente necessário para impedir a fraude constitui também um interesse legítimo do Responsável pelo tratamento em causa.
O tratamento de dados pessoais para fins de marketing directo poderia também ser considerado um interesse legítimo.
Os responsáveis pelo tratamento que fazem parte de um grupo ou de instituições filiadas num organismo central, podem ter um interesse legítimo na divulgação de dados pessoais dentro do grupo para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou empregados, de acordo com o considerando n.º do preâmbulo. 48.
Finalmente, considerando nº. 49 do preâmbulo afirma que o tratamento dados pessoais na medida estritamente necessária e proporcional para garantir a segurança das redes e da informação constitui um interesse legítimo do Responsável pelo tratamento dos dados.
Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.
Once you have submitted your details, you’ll be our top priority!