Artigo 17°.

Direito ao apagamento dos dados («direito a ser esquecido»)

1. O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

(a)

Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

(b)

O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6.°, n.° 1, alínea a), ou do artigo 9.°, n.° 2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;

(c)

O titular opõe-se ao tratamento nos termos do artigo 21.°, n.° 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe-se ao tratamento nos termos do artigo 21.°, n.° 2;

(d)

Os dados pessoais foram tratados ilicitamente;

(e)

Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;

(f)

Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação referida no artigo 8.°, n.° 1.

2. Quando o responsável pelo tratamento tiver tornado públicos os dados pessoais e for obrigado a apagá-los nos termos do n.° 1, toma as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.

3. Os n.°ˢ 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:

(a)

Ao exercício da liberdade de expressão e de informação;

(b)

Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento;

(c)

Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 9.°, n.° 2, alíneas h) e i), bem como do artigo 9.°, n.° 3;

(d)

Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89.°, n.° 1, na medida em que o direito referido no n.° 1 seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; ou

(e)

Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

O que isto significa?

Os dados já não são necessários para o seu objetivo inicial

Se recolheu dados para um projeto específico e este já está concluído, poderá ser necessário apagá-los.

O consentimento é retirado

Se o tratamento se basear exclusivamente no consentimento de uma pessoa e esta mudar de ideias, deve apagar os dados, exceto se existir outro fundamento jurídico.

Objeção legítima sem razão imperiosa

Se uma pessoa se opuser ao tratamento dos seus dados e não puder apresentar uma razão imperiosa para continuar, é obrigado a apagar os seus dados.

Tratamento ilícito

Se descobrir que está a processar dados sem uma base legal legítima, estes têm de ser eliminados.

Obrigação legal

O utilizador deve cumprir a legislação da UE ou dos Estados-Membros que exige o apagamento de determinados dados.

Dados de crianças que oferecem serviços em linha

Existem protecções especiais para os dados das crianças, podendo ser necessário apagá-los em determinadas situações.

Se tiver publicado dados pessoais e for obrigado a apagá-los, deve tomar medidas razoáveis para informar as outras organizações que processam esses dados sobre o pedido de apagamento. Este procedimento deve envolver o pedido de remoção de ligações, cópias ou replicações.

Sim, há excepções. A eliminação não é necessária quando:

  • É incompatível com o direito à liberdade de expressão e de informação.
  • O tratamento é necessário para o cumprimento de uma obrigação legal ou para uma tarefa de interesse público.
  • É necessário por razões de saúde pública (tal como previsto no RGPD).
  • Trata-se de arquivo de interesse público, de investigação científica, histórica ou para fins estatísticos (nos termos do n.º 1 do artigo 89.º), e o apagamento teria impacto nesses objectivos.
  • Os dados são essenciais para as acções judiciais.

O RGPD obriga-o a apagar os dados pessoais sem demora injustificada após a receção de um pedido válido.

Comece por estabelecer procedimentos internos claros para o tratamento dos pedidos de apagamento. Estas devem incluir passos para verificar a identidade do indivíduo, avaliar se a eliminação é legalmente exigida e delinear o processo de remoção de dados em todos os sistemas e cópias de segurança relevantes.

É essencial saber onde a sua organização guarda os dados pessoais, o que é uma boa razão para ter um registo detalhado das actividades de tratamento, tal como exigido pelo artigo 30. Isto ajudará a garantir a eliminação completa quando forem recebidos pedidos.

As ferramentas técnicas e a automatização podem ser um trunfo importante, especialmente para organizações com processos e armazenamento de dados complexos. Considere software que ajude a localizar e a apagar dados pessoais.

Uma vez que as cópias de segurança também são importantes, desenvolva uma estratégia para tratar os pedidos de apagamento no contexto das suas cópias de segurança. Isto pode envolver a eliminação personalizada de dados das cópias de segurança sempre que possível ou a programação regular da eliminação completa das cópias de segurança após um período de tempo razoável.

Se partilhar dados pessoais com terceiros, disponha de um sistema para os notificar dos pedidos de apagamento e garantir o seu cumprimento.

Por último, não se esqueça de documentar todas as medidas tomadas relativamente aos pedidos de apagamento. Isto é importante para demonstrar os seus esforços de conformidade com o RGPD e ajuda a lidar com eventuais litígios.

Formação de sensibilização

Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.

Discover

About