A Brigantia-Ecopark assume o compromisso de em toda a sua atuação reconhecer a importância da proteção dos Dados Pessoais ao recolher e tratar os Dados Pessoais segundo elevados padrões éticos e em conformidade com os requisitos legais aplicáveis.
Valorizamos a integridade e comprometemo-nos com a construção de relacionamentos fortes e duradouros com clientes, trabalhadores e outros titulares de dados pessoais a cargo da organização, balizando esta relação na confiança e no mútuo benefício. A privacidade individual, em particular dos dados em tratamento, é fundamental. A atual Política de Privacidade expressa o forte compromisso da Brigantia-Ecopark no respeito e proteção dos Dados Pessoais de cada indivíduo e de garantir o cumprimento integral com as Leis de Proteção de Dados.
Esta Política de Privacidade destina-se também à promoção da informação sobre os tipos de Dados Pessoais em tratamento, a sua utilização, partilha, proteção e segurança.
A Política de Privacidade poderá sofrer alterações de forma a fezer refletir novas práticas e ofertas de serviços. Nesse caso, contará a data da “última atualização” como sendo a política em vigor. Esta Política está anexada aos contratos que celebramos com nossos clientes, prestadores de serviços ou parceiros. A versão atual estará disponível no website da Brigantia-Ecopark. Recomendamos que reveja periodicamente as possíveis atualizações desta Política em https://www.brigantia-ecopark.pt/politica-de-privacidade/.
Âmbito de aplicação
A Política de privacidade aplica-se a toda a Organização enquanto Responsável pelo Tratamento de dados ou Subcontratante.
Conceitos essenciais:
Conforme o Artigo 4º do Regulamento (UE) 2016/679 (RGPD)
Dados pessoais
“Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;”
Tratamento
“Operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;”
Responsável pelo tratamento
“A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;”
Subcontratante
“Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;”
Destinatário
“Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;”
Terceiro
“A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;”
Consentimento
“Consentimento do titular dos dados, uma manifestação de vontade, livre, específica, informada e inequívoca, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;”
Violação de dados pessoais
“Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;”
Definição de perfis
“Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;”
Pseudonimização
“O tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;”
RGPD, considerando 26:
“Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável. Para determinar se uma pessoa singular é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular.”
Anonimização
Conforme ISO 29100:2011
“processo pelo qual as informações pessoais identificáveis (IPI) são alteradas irreversivelmente de modo que uma entidade IPI já não possa ser identificada direta ou indiretamente, seja pelo responsável pelo tratamento de IPI por si só ou em colaboração com qualquer outra parte”
RGPD, considerando 26:
“Para determinar se uma pessoa singular é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar a pessoa singular, importa considerar todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do tratamento dos dados e a evolução tecnológica. Os princípios da proteção de dados não deverão, pois, aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado.”
Princípios do tratamento de dados
Licitude, lealdade e transparência
“Os dados pessoais são:
Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;”
Limitação das finalidades
“Os dados pessoais são:
Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89º, nº 1;”
Minimização dos dados
“Os dados pessoais são:
Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;”
Exatidão
“Os dados pessoais são:
Exatos e atualizados sempre que necessário. Devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;”
Limitação da conservação
“Os dados pessoais são:
Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89º, nº 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados; ”
Integridade e confidencialidade
“Os dados pessoais são:
Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas;”
Responsabilidade
O responsável pelo tratamento é responsável pelo cumprimento do disposto nos princípios anteriores e tem de poder comprová-lo.
Dados pessoais em utilização
- Pedido de um serviço; Informação recolhida durante o pedido de um serviço
Dados pessoais em tratamento:
Nome e apelido; Email; Morada para (faturação); Número de telefone; Informação da transação (detalhes sobre o serviço subscrito, número de transação, histórico dos serviços, etc.); Informação de pagamento.
Justificações e finalidades de tratamento:
Envio de estimativa ou orçamento; Tratamento e seguimento do pedido; Gestão do pagamento e do pedido; Gestão de contactos relacionados com o pedido; Gestão de qualquer litígio relacionado com o pedido; Executar estatísticas.
Base legal para o tratamento dos dados:
Execução de um contrato de fornecimento de serviços.
- Prestação de serviço (Informações recolhidas durante a prestação de serviços que solicitou)
Dados pessoais em tratamento:
Nome e apelido; email; número de telefone; dados relacionados com a relação comercial: dados sobre o serviço prestado, duração, correspondência com o cliente; dados de identificação que permitem informações da conta pessoal para acesso a plataformas ou aplicativos.
Justificações e finalidades de tratamento:
Realização do serviço solicitado; Permitir o acesso e utilização das plataformas quando o serviço for pedido; Gestão de contactos durante a prestação do serviço; Gestão da relação comercial; Gestão qualquer solicitação ou litígio relacionado com o serviço.
Base legal para o tratamento dos dados:
Execução de um contrato.
- Conclusão de um contrato específico (Informação recolhida aquando do fornecimento de um produto ou um serviço)
Dados pessoais em tratamento:
Nome e apelido; Email; Função; Nome da Empresa; Número de telefone.
Justificações e finalidades de tratamento:
Envio de comunicações comerciais (quando as tenha solicitado); Manutenção de uma lista de exclusão atualizada caso tenha pedido para não ser contactado; Análises ou recolhas estatísticas.
Base legal para o tratamento dos dados:
Consentimento: Nenhuma comunicação de marketing direto é enviada sem consentimento. Interesse legítimo: Para adaptação das comunicações de marketing às necessidades do cliente e para melhorar os serviços no alinhamento do negócio. Cumprimento de uma obrigação legal: Manutenção dos dados numa lista de exclusão no caso de solicitação para não enviar mais marketing direto.
- Navegação online – Informações recolhidas por cookies ou por tecnologias similares (“Cookies” *) como parte da navegação no website da Brigantia-Ecopark. * Cookies são pequenos arquivos de texto armazenados no dispositivo (computador, tablet e telemóvel) quando se utiliza a Internet.
Dados pessoais em tratamento:
Dados relacionados com o uso do website da Brigantia-Ecopark: de onde é, páginas que visitou, duração da sua visita; Informação técnica: endereço de IP, informação de browser, informação de dispositivo.
Justificações e finalidades de tratamento:
Personalização dos serviços: Envio de recomendações ou comunicações de marketing baseadas nos interesses do visitante; Exibição do website de forma personalizada; Para permitir o bom funcionamento do website: Exibição adequada de conteúdo; Personalização de interface, como o idioma; Parâmetros anexados ao dispositivo incluindo a resolução do seu ecrã; Melhoria do website, por exemplo testando novas ideias. Para garantir que o website seja seguro e para protegê-lo contra fraudes ou uso indevido do website ou serviços; Para fazer estatísticas: Para melhorar as ofertas; Para saber como descobriu o website.
Base legal para o tratamento dos dados:
Interesse legítimo: Para garantir que estamos a oferecer um website e comunicações que funcionam adequadamente, seguras, protegidas e em melhoria contínua, para o desenvolvimento do negócio e experiência de visualização. Consentimento: Para os cookies que não são necessários para o funcionamento do website.
- Consultas (Informações recolhidas pela Brigantia-Ecopark quando questionada acerca dos serviços que presta)
Dados pessoais em tratamento:
Nome e apelido; Email; Função; Nome da Empresa; Número de telefone. Outras informações partilhadas acerca da consulta.
Justificações e finalidades de tratamento:
Para resposta a questões; quando necessário, para o colocar em contacto com os serviços internos relevantes; Para fins estatísticos; Para envio de orçamentos.
Base legal para o tratamento dos dados:
Consentimento: Para processar e tratar pedidos. Execução de um contrato: Para lhe fornecer as informações solicitadas no contexto do contrato. Interesse legítimo: Melhorar o entendimento relativamente a necessidades e expectativas dos “Utilizadores” e, portanto, melhorar os serviços.
- Candidatura a uma vaga (Informações recolhidas quando se candidata a um emprego na Brigantia-Ecopark)
Dados pessoais em tratamento:
Informação de identificação; Detalhes para contacto; Curriculum vitae (qualificações, empregos anteriores, etc.); Notas da entrevista.
Justificações e finalidades de tratamento:
Para: Analisar os pedidos dos candidatos, gerir os processos de recrutamento, contratar os candidatos.
Base legal para o tratamento dos dados:
Contratação (Contrato): Atividades pré-contratuais. Interesse legítimo: Para encontrar os melhores candidatos para as nossas ofertas de emprego.
A Brigantia-Ecopark não trata os Dados Pessoais com outras finalidades, que não sejam as descritas nesta Política e que sejam diferentes daquelas que o Titular dos Dados foi informado.
Notificação e Consentimento
Para que seja válido o consentimento deve tratar-se de uma manifestação de uma vontade livre e especifica, informada e explicita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhes diga respeito seja objeto de tratamento.
O consentimento pode ser prestado através da declaração ou conduta que indique claramente nesse contexto que aceita o tratamento dos seus dados pessoais.
Ao recolhemos o seu consentimento prévio, é informado nesse momento da recolha dos seus Dados Pessoais. Pode retirar o seu consentimento a todo o momento usando o mecanismo de opt-out fornecido e indicado no momento da recolha dos seus Dados Pessoais, ou entrando em contacto connosco através dos contactos indicados no separador “contactos”.
Divulgação ou transferência de dados
Alguns dos seus Dados Pessoais podem estar acessíveis:
- Dentro da Brigantia-Ecopark, pelos trabalhadores autorizados;
O tratamento só será feito com base na necessidade de saber e, quando necessário, para lhe fornecer os serviços solicitados, ou no contexto de um contrato estabelecido.
- Por prestadores de serviços confiáveis atuando como subcontratantes (ou seja, subcontratantes) que realizarão certos serviços em nosso nome necessários para os fins indicados supra.
Somente lhes fornecemos as informações necessárias para executar tais serviços, e exigimos que não tratem os Dados Pessoais para nenhuma outra finalidade. Esses prestadores de serviço só agirão de acordo com as instruções da Brigantia-Ecopark e estarão contratualmente obrigados a garantir um nível de segurança e confidencialidade para os Dados Pessoais que é igual ao que o Brigantia-Ecopark se obriga, desenvolvendo os esforços necessários para a conformidade com as leis e regulamentos de proteção de dados pessoais aplicáveis.
Além disso, a Brigantia-Ecopark poderá partilhar os seus Dados Pessoais com terceiros:
- Para proteger os direitos, propriedade ou segurança da Brigantia-Ecopark, dos Utilizadores, dos trabalhadores ou outros; ou
- Para cumprir uma obrigação legal ou responder a processos judiciais de qualquer natureza, ordens judiciais, qualquer ação legal ou medidas de execução exigidas pelas autoridades competentes; ou
Para outros fins exigidos pela legislação aplicável ou ainda com consentimento prévio.
Retenção de dados
Manteremos os Dados Pessoais apenas durante o tempo necessário para as finalidades do tratamento para os quais foram recolhidos (normalmente, a duração do contrato). Podemos, no entanto, manter os dados por período de tempo mais longo em cumprimento com as disposições legais ou regulamentares específicas e / ou para cumprir com os prazos de prescrição aplicáveis. No caso de uma retenção de dados mais longa por outros motivos, O Titular dos Dados será informado sobre esses motivos e sobre o período de retenção aplicável aos Dados Pessoais.
Para determinar o período de retenção dos Dados Pessoais, são usados os seguintes critérios:
- Ao solicitar um serviço, mantemos os Dados Pessoais enquanto durar a relação comercial e de acordo com o prazo prescricional;
- Quando é efetuada uma consulta, os seus dados pessoais são mantidos pelo tempo necessário para o processamento da mesma;
- Quando é dado consentimento em ações de marketing direto, mantemos os Dados Pessoais até que seja cancelada a subscrição ou solicitação que o excluamos ou após um período de inatividade (sem interação ativa connosco);
- Quando os cookies são colocados no computador, (serão mantidos pelo tempo que for necessário para alcançar a sua finalidade) e por um período definido de acordo com os regulamentos e diretrizes em vigor.
- Para os candidatos, mantemos os seus Dados Pessoais de acordo com a legislação aplicável.
Política de cookies
A Política de cookies encontra-se disponível em https://www.brigantia-ecopark.pt/politica-de-cookies/
Hiperligações para Websites
O Web site da Brigantia-Ecopark pode fornecer ligações a Web sites de terceiros para sua conveniência e informação. Se aceder a estas hiperligações, sairá do Web site da Brigantia-Ecopark. A Brigantia-Ecopark não controla esses sites nem as respetivas práticas de privacidade, que poderão ser diferentes das praticadas pela Brigantia-Ecopark. A Brigantia-Ecopark não apoia nem se responsabiliza por Web sites de terceiros.
Proteção dos dados
A Brigantia-Ecopark assume o compromisso de manter os Dados Pessoais em tratamento de forma segura, tomando todas as precauções razoáveis para o fazer. Implementámos todas as medidas organizativas e técnicas necessárias de acordo com esta Política, leis e regulamentos aplicáveis para proteger os Dados Pessoais contra qualquer acesso e modificação não autorizados, divulgação, perda ou destruição. Exigimos contratualmente que os prestadores de serviço que lidam com os seus dados pessoais façam o mesmo.
Direitos do titular dos dados
Conforme o Regulamento (UE) 2016/679 (RGPD)
Direito a receber informação sobre o tratamento
Artigo 13º
Informações a facultar quando os dados pessoais são recolhidos junto do titular
“1. Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta-lhe, aquando da recolha desses dados pessoais, as seguintes informações:
- A identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu representante;
- Os contactos do encarregado da proteção de dados, se for caso disso;
- As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
- Se o tratamento dos dados se basear no artigo 6.º, n.º 1, alínea f), os interesses legítimos do responsável pelo tratamento ou de um terceiro;
- Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;
- Se for caso disso, o facto de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências mencionadas nos artigos 46.º ou 47.º, ou no artigo 49.º, n.º 1, segundo parágrafo, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas.
- Para além das informações referidas no n.º 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:
- Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
- A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
- Se o tratamento dos dados se basear no artigo 6.º, n.º 1, alínea a), ou no artigo 9.º, n.º 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
- O direito de apresentar reclamação a uma autoridade de controlo;
- Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
- A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.º, n.º 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
- Quando o responsável pelo tratamento de dados pessoais tiver a intenção de proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados tenham sido recolhidos, antes desse tratamento o responsável fornece ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes, nos termos do n.o 2.
- Os n.º 1, 2 e 3 não se aplicam quando e na medida em que o titular dos dados já tiver conhecimento das informações.”
Artigo 14º
Informações a facultar quando os dados pessoais não são recolhidos junto do titular
“1. Quando os dados pessoais não forem recolhidos junto do titular, o responsável pelo tratamento fornece-lhe as seguintes informações:
- A identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu representante;
- Os contactos do encarregado da proteção de dados, se for caso disso;
- As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
- As categorias dos dados pessoais em questão;
- Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;
- Se for caso disso, o facto de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências mencionadas nos artigos 46.º ou 47.º, ou no artigo 49.º, n.º 1, segundo parágrafo, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas.
- Para além das informações referidas no n.º 1, o responsável pelo tratamento fornece ao titular as seguintes informações, necessárias para lhe garantir um tratamento equitativo e transparente:
- Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
- Se o tratamento dos dados se basear no artigo 6.º, n.º 1, alínea f), os interesses legítimos do responsável pelo tratamento ou de um terceiro;
- A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
- Se o tratamento dos dados se basear no artigo 6.º, n.º 1, alínea a), ou no artigo 9.º, n.º 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
- O direito de apresentar reclamação a uma autoridade de controlo;
- A origem dos dados pessoais e, eventualmente, se provêm de fontes acessíveis ao público;
- Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
- A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.º, n.º 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
- O responsável pelo tratamento comunica as informações referidas nos n.º 1 e 2:
- Num prazo razoável após a obtenção dos dados pessoais, mas o mais tardar no prazo de um mês, tendo em conta as circunstâncias específicas em que estes forem tratados;
- Se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular dos dados, o mais tardar no momento da primeira comunicação ao titular dos dados; ou
- Se estiver prevista a divulgação dos dados pessoais a outro destinatário, o mais tardar aquando da primeira divulgação desses dados.
- Quando o responsável pelo tratamento dos dados pessoais tiver a intenção de proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados tenham sido recolhidos, antes desse tratamento o responsável fornece ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes, nos termos do n.º 2. “
Direito de acesso do titular dos dados
Artigo 15º
“1. O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
As finalidades do tratamento dos dados;
As categorias dos dados pessoais em questão;
Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais;
Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo;
A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de se opor a esse tratamento;
O direito de apresentar reclamação a uma autoridade de controlo;
Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados;
A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22º, nº 1 e nº4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
- Quando os dados pessoais forem transferidos para um país terceiro ou uma organização internacional, o titular dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 46º relativo à transferência de dados.
- O responsável pelo tratamento fornece uma cópia dos dados pessoais em fase de tratamento. Para fornecer outras cópias solicitadas pelo titular dos dados, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido em contrário do titular dos dados, a informação é fornecida num formato eletrónico de uso corrente.
- O direito de obter uma cópia a que se refere o nº3 não prejudica os direitos e as liberdades de terceiros.”
Direito de retificação
Artigo 16º
“O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.”
Direito ao apagamento dos dados («direito a ser esquecido»)
Artigo 17º
“1. O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:
Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6º, nº1, alínea a), ou do artigo 9º, nº2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;
O titular opõe-se ao tratamento nos termos do artigo 21º, nº 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe-se ao tratamento nos termos do artigo 21º, nº2;
Os dados pessoais foram tratados ilicitamente;
Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;
Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação referida no artigo 8º, nº 1.
- Quando o responsável pelo tratamento tiver tornado públicos os dados pessoais e for obrigado a apagá-los nos termos do nº1, toma as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.
- Os nº 1 e nº 2 não se aplicam na medida em que o tratamento se revele necessário:
Ao exercício da liberdade de expressão e de informação;
Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento;
Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 9º, nº 2, alíneas h) e i), bem como do artigo 9º, nº3;
Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89º, nº 1, na medida em que o direito referido no nº 1 seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; ou
Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.”
Direito à limitação do tratamento
Artigo 18º
“1. O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se se aplicar uma das seguintes situações:
- Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão;
- O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
- O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
- Se tiver oposto ao tratamento nos termos do artigo 21º, nº 1, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.
- Quando o tratamento tiver sido limitado nos termos do nº1, os dados pessoais só podem, à exceção da conservação, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos ponderosos de interesse público da União ou de um Estado-Membro.”
Direito de portabilidade dos dados
Artigo 20º
“1. O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, se:
O tratamento se basear no consentimento dado nos termos do artigo 6º, nº 1, alínea a), ou do artigo 9º, nº2, alínea a), ou num contrato referido no artigo 6º, nº 1, alínea b); E
O tratamento for realizado por meios automatizados.
- Ao exercer o seu direito de portabilidade dos dados nos termos do nº1, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.
- O exercício do direito a que se refere o nº 1 do presente artigo aplica-se sem prejuízo do artigo 17º. Esse direito não se aplica ao tratamento necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.
- O direito a que se refere o nº 1 não prejudica os direitos e as liberdades de terceiros.”
Direito de oposição
Artigo 21º
“1. O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6º, nº 1, alínea e) ou f), ou no artigo 6º, nº 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
- Quando os dados pessoais forem tratados para efeitos de comercialização direta, o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.
- Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.
- O mais tardar no momento da primeira comunicação ao titular dos dados, o direito a que se referem os nº1 e nº2 é explicitamente levado à atenção do titular dos dados e é apresentado de modo claro e distinto de quaisquer outras informações.
- No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, o titular dos dados pode exercer o seu direito de oposição por meios automatizados, utilizando especificações técnicas.
- Quando os dados pessoais forem tratados para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89º, nº 1, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessário para a prossecução de atribuições de interesse público.”
Direito de retirar o consentimento
Artigo 7º
“3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar(…)”
Decisões individuais automatizadas, incluindo definição de perfis
Artigo 22º
“1. O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.
- O nº 1 não se aplica se a decisão:
For necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;
For autorizada pelo direito da União ou do Estado-Membro a que o responsável pelo tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados;
For baseada no consentimento explícito do titular dos dados.
- Nos casos a que se referem o nº 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.
- As decisões a que se refere o nº2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9º, nº1, a não ser que o nº2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular”.
Direito de apresentar reclamação a uma autoridade de controlo
Artigo 77º
“1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.
- A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78º”.
Última atualização: 05/12/2019