Tem dúvidas sobre as regras de proteção de dados? Nós ajudamos

O ECO fez uma parceria com a consultora EY e com a sociedade RRP Advogados para ajudar as empresas, sobretudo as pequenas e médias, a esclarecer as dúvidas sobre o Regulamento Geral da Proteção de Dados (RGPD) que substitui a atual diretiva e lei de proteção de dados.

O que é suposto fazer? Tenho que enviar um email a todos os clientes? Posso ser multado? A minha empresa é obrigada a nomear um Encarregado de Proteção de Dados (DPO)? Tenho mesmo de pedir sempre consentimento aos titulares dos dados? Por quanto tempo posso guardar dados pessoais? Que tipo de dados são abrangidos pelo regulamento? Acho que a minha empresa não trata dados pessoais… ou trata?

Envie as suas dúvidas para rgpd@eco.pt e o ECO, em parceria com a consultora EY, vai tentar ajudar.

O ECO reserva-se ao direito de selecionar as questões a responder, tendo em conta o interesse, a abrangência e o fluxo de perguntas a receber por parte dos nossos leitores.

As respostas serão publicadas neste mesmo espaço. Vá passando por aqui e mantenha-se informado.

Perguntas dos leitores e respostas da EY – 25 de maio

• Tenho intenção de construir uma pequena unidade hoteleira. É legal os hotéis ficarem com os dados de cartões de crédito dos hóspedes? Por quanto tempo?

É legal pelo período necessário a processarem o pagamento, cumprirem obrigações legais ou promover a declaração, exercício ou defesa de um direito num processo judicial. No entanto, há legislação específica que impõe obrigações nesta matéria.

• As empresas têm nos seus comerciais a força de prospeção e venda para novos clientes e mercados. Muitos comerciais têm uma lote de contactos que foram angariando na sua atividade pessoal e empresarial. Sendo que esses contactos (telefone, email…) são do comercial, mas o comercial contactando esta lista de indivíduos, fá-lo na tentativa de estabelecer relações comerciais, infringe alguma norma do RGPD (dado que não tem prévio consentimento desses potenciais clientes)?

No caso de estarmos a falar de consumidores finais para os quais a relação contratual existente não estipula contactos com objetivo de prospeção, sim, de facto deverá ser recolhido o consentimento. O uso de contactos pessoais com uma finalidade comercial ao serviço de uma empresa sai do âmbito doméstico e passa a ser uma atividade comercial, as obrigações e fundamento dependem do tratamento em causa.

• Logicamente, quando existem normas jurídicas que fundamentem as relações entre empresas e clientes, o RGPD estará para o caso em conformidade. Mas existem casos com ténues fronteiras. Se, por exemplo, uma empresa efetuar a normal solicitação de pagamento de dívidas em mora aos clientes individuais, enviando-lhes correspondência por correio eletrónico, estará a empresa salvaguardada na utilização de um dado pessoal (email), se não tiver esse consentimento?

Não, em princípio a cobrança de créditos no âmbito de um contrato é um interesse legítimo de tratamento.

• Qual a norma jurídica para o envio do normal oficio por CTT a solicitar pagamento da dívida. Será o Código Civil e/ou Comercial?

A cobrança de créditos devidos no âmbito de um contrato encontra fundamento na lei civil e comercial (interpelação admonitória).

• Como deve proceder uma escola quando os alunos realizam uma atividade fora do espaço escolar, por exemplo um museu, e esse museu filma e publica nas redes sociais essas imagens, mesmo que para fins lúdicos e promocionais? Qual a responsabilidade da escola?

O museu deverá pedir consentimento à escola para proceder dessa forma e, no caso de crianças, os pais (ou tutores legais) deverão dar o seu consentimento para o efeito.

• Quando se veem de forma recorrente imagens na televisão de processos de justiça em ‘montes’, em cima de mesas, e sem que cumpra minimamente o que agora o RGPD refere sobre acesso e segurança aos dados, que devem esperar os portugueses do RGPD?

Com o aumento das penalidades para efeitos de incumprimento com o regulamento, os portugueses devem ter a expectativa de que os seus dados agora estarão mais salvaguardados, pois a qualquer momento poderão existir denúncias e fiscalizações a essas entidades. Da mesma forma, se um qualquer cidadão, com a fundamentação correta, efetuar uma denúncia acerca de uma organização, pública ou privada, além dessa instituição poder incorrer em penalizações, poderá originar indemnizações a esse mesmo cidadão.

Perguntas dos leitores e respostas da EY – 24 de maio

• Em toda a documentação relativa a este assunto, só fala de clientes e recursos humanos. A minha dúvida prende-se com os fornecedores, mais propriamente com os trabalhadores independentes – recibos verdes. Também temos que ter alguma preocupação com eles? Se sim, qual?

Os trabalhadores independentes são uma “empresa”, que prestam serviços a outros. Os dados disponibilizados por estes aos seus clientes devem ser utilizados apenas para a finalidade contratualizada e não para outra. Caso exista necessidade de utilizar essa informação para outro propósito deverá ser recolhido consentimento.

• No âmbito do alojamento local, a comunicação obrigatória ao SEF dos dados dos passaportes dos hóspedes implica que os dados devem ser guardados por 12 meses pelos estabelecimentos de AL/Hotéis. Com o RGPD esta obrigação permanece inalterada? O que devem as empresas dizer aos turistas sobre os dados guardados?

O RGPD não se sobrepõe a outra legislação legal em vigor, nomeadamente a referida ou, por exemplo, a relacionada com regime fiscal.

• Sendo presidente de uma Associação fundada em 1990, sem fins lucrativos, com cerca de um milhar de associados no ativo, cujos dados constam das respetivas fichas de inscrição (em papel ou via Internet), utilizados exclusivamente para contacto entre a Associação e os próprios para troca de correspondência, está a mesma obrigada às mesmas regras das empresas que tratam dados dos clientes?

O regulamento aplica-se a todas as organizações sem exceção, sendo que existem particularidades, nomeadamente para as que têm menos de 250 colaboradores.

• E em relação aos dados dos cerca de 1.500 ex-sócios que entretanto deixaram de pagar quotas, pediram a demissão ou já faleceram?

Deverão ser observados os períodos legais de retenção de informação, sendo que a utilização da informação em causa deverá cingir-se ao que está definido contratualmente com o associado.

• Quando o RGPD refere a minimização de dados pessoais e eliminação dos não necessários que não estejam consentidos ou sob fundamento jurídico, como devem as empresas proceder atendendo por exemplo a que existem empresas que têm fichas em papel, com diversa informação que recolheu dos clientes, e sendo que essas fichas tanto contêm dados que podem ter ainda fundamentação jurídica para existir (ex: nome+NIF+Morada no prazo de 10/12 anos atendendo ao CIRC), como contêm informação que não tem devida justificação (IBAN, mail, moradas desatualizadas…)? Como devem proceder as empresas para plena conformidade com o RGPD?

Devem proteger essa informação e garantir que a mesma não é utilizada pois não é necessária para a prestação do serviço. No caso de informação digital é mais fácil pois a mesma pode ser anonimizada ou pseudonomizada. A informação em papel tem desafios acrescidos, na medida em que a mesma não é facilmente alterável. Neste casos soluções de gestão documental poderão ser uma solução interessante para minimizar o acesso à informação.

• Quando por exemplo uma associação, pode ser uma associação sindical, tem associados que efetuaram a devida inscrição, pode a associação continuar a enviar emails e correspondência para divulgar as suas atividades e iniciativas, sem solicitar o devido consentimento, conforme previsto no RGPD?

Se estiver ao abrigo do que o associado contratualizou com a associação sim, caso contrario deverá solicitar o consentimento.

• E quando uma entidade oficial, como é a Direção Geral de Desporto Escolar, nas suas auditorias às escolas, solicita documentação e cópias (dados de saúde, de vacinas, de resultados dos alunos), para verificação das conformidades desportivas, qual a responsabilidade das escolas que fornecem esses dados pessoais, sem prévio consentimento dos representantes legais, e sem que essa Direção assine nenhum documento, como se fosse um subcontratante, a responsabilizar-se pelo uso e salvaguarda desses dados?

As disposições legais em vigor não se sobrepõem ao regulamento, pelo que no exercício de fiscalização as entidades reguladoras podem aceder a informação privada, sendo que deve respeitar os requisitos do regulamento.

Perguntas dos leitores e respostas – 12 de junho

• Quando eu não autorizo, não autorizo o quê? O que é que eu posso não autorizar sem perder o serviço? É que, tal como acontece nas chamadas telefónicas, se eu não autorizar a gravação eles dizem que a chamada tem de ser desligada, logo, perco o acesso ao serviço telefónico. Aqui, vão com certeza dizer que se eu não autorizar o uso dos dados eles vão ter de deixar de prestar o serviço, porque o serviço exige uso de dados.

Os dados necessários para prestar determinado serviço não carecem de consentimento para o seu tratamento. Supondo que contrata um serviço de limpeza e dá a sua morada. Esses dados, uma vez que são necessários para a prestação do serviço solicitado encontram o seu fundamento de legitimidade na “necessidade para execução do contrato” (6.º 1, b) RGPD) e não no consentimento. Deve, então, ser feita uma distinção entre os dados necessários para a prestação de determinado serviço (para os quais não é necessário consentimento, nem se pode opor ao tratamento, pois nesse caso não será possível a prestação do serviço) e os dados que não são necessários à prestação do serviço (para os quais é necessário o consentimento e que não implicam a perda do serviço).

• Então como saber que dados é que são realmente necessários para usufruir de um serviço? Que dados sou mesmo obrigada a ceder?

Depende do serviço. Se estivermos a falar de telecomunicações, por exemplo, precisa de dar o seu nome, morada, dado de contacto e NIF (para faturação), e outros que possam ser requeridos pelo serviço em questão. Neste caso, poderá optar por não receber comunicações de marketing. Se estivermos a falar de uma simples compra de uma peça de roupa, só os dados de pagamento são necessários (não pagando com dinheiro).

• A lei de proteção de dados é somente para dados completos ou serve apenas para emails?

A Lei de Proteção de Dados Pessoais, o Regulamento Geral de Proteção de Dados e demais legislação de proteção de dados, aplica-se a todos os dados pessoais, incluindo emails, se estes permitirem identificar o seu titular, e a todos os outros dados, completos ou não, que permitam identificar uma pessoa singular, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

• Sou gerente de uma unipessoal que opera na área da produção de espetáculos e reapresentação artística. Envio newsletters aos clientes compradores de espetáculos: promotores agentes de espetáculos, câmaras municipais, universidades, escolas, organizadores de eventos, certames, etc. Apenas promovemos para clientes empresariais públicos ou privados. Não temos base de dados de público, pessoas singulares… Os contactos que temos dos clientes empresariais (públicos e privados) são apenas nomes e endereço de email e moradas. De que forma devo agir?

Se estamos perante dados de pessoas coletivas (clientes empresariais públicos ou privados) não estamos no âmbito de aplicação da legislação de proteção de dados. De acordo com a lei “e-Privacy” (Lei da privacidade no setor das comunicações eletrónicas), aos assinantes que sejam pessoas coletivas, são permitidas as comunicações não solicitadas para fins de marketing direto até que os assinantes recusem futuras comunicações (realizem opt-out).

• O envio de email marketing para empresas pode ser realizado sem o consentimento destas? Ou é preciso obter o prévio consentimento, como ocorre agora no caso de pessoas singulares?

Aos assinantes que sejam pessoas coletivas, são permitidas as comunicações não solicitadas para fins de marketing direto até que os assinantes recusem futuras comunicações (realizem opt-out).

• Como devo atuar, enquanto médica prestadora de serviços em várias organizações e com vários interlocutores (escolas, tribunais, cpcj…) de modo a salvaguardar a proteção dos dados dos clientes (idade pediátrica) que acompanho?

Depende do(s) contexto(s) em que é obrigada a tratar e divulgar esses dados. Em regra, deverá requerer e registar o consentimento explícito do(s) titula(es) da(s) responsabilidade(s) parental(is), uma vez que as crianças, nessa idade, não estão em condições legais de dar o seu consentimento e cabe ao(s) titula(es) da(s) responsabilidade(s) parental(is) dá-lo em seu nome.

• Num motel que tem uma página web só informativa e que em algum lugar recolhe dados pessoais, como se aplica o RGPD? O mesmo já tem política de cookies? E num restaurante que não tem página web como irá funcionar o RGPD? É necessário pedir consentimento?

No primeiro caso, o motel que tem uma página web só informativa e, mesmo que não recolha dados pessoais intencionalmente, é natural que tenha cookies (que são ficheiros de texto que armazenam informação dos utilizadores/navegadores), pelo menos os necessários ao funcionamento do site. Neste caso, se se tratarem dos cookies estritamente necessários ao funcionamento do site, não terão de pedir o consentimento (uma vez que os dados recolhidos são os necessários para a prestação do serviço), mas terão de informar da existência de cookies e elaborar uma política de cookies. No segundo caso, depende da interação com os clientes (envio de newsletters, etc.), com os trabalhadores (é sempre necessário prestar a estes informação sobre como são tratados os seus dados pessoais) e terceiros. Mesmo um simples restaurante deverá preocupar-se com os dados dos trabalhadores e com os dados de faturação, pelo menos. No caso dos dados de faturação dos clientes, deverá guardá-los pelo período de dez anos, mas não necessita de informá-los dos pormenores do tratamento, uma vez que tal decorre da lei.

• Os nossos alunos que são sócios desta Associação [Apolo Braga] podem continuar a receber emails e mensagens?

Os sócios da associação poderão continuar a receber emails e mensagens, até que se oponham a tais comunicações.

• Aqui no Hotel do Colégio, recolhemos informações acerca dos clientes no ato de reserva. Assim, quando nos contactam diretamente através do nosso email das reservas, deveremos pedir o consentimento de cada cliente antes de pedirmos os dados, assim como apresentar a nossa Política de Privacidade? E no caso das agências, que recolhem esses mesmos dados e os partilham connosco? Deveremos ter algum acordo específico com cada agência com que trabalhamos, que preveja quais os dados que são partilhados entre nós, porquê e durante quanto tempo?

Se as informações que recolhem acerca dos clientes no ato de reserva são as estritamente necessárias à prestação do serviço ou aquelas que, sendo acessórias, se incluem na prossecução de interesses legítimos do hotel (como é o exemplo do contacto) ou ainda as informações necessárias para o cumprimento de obrigações legais (ex.: NIF para faturação), não precisam de pedir o consentimento, uma vez que os dados recolhidos se circunscrevem aos necessários para as finalidades descritas ou equiparadas. Se utilizarem os dados para outras finalidades terão de pedir o consentimento dos titulares dos dados. A Política de Privacidade deverá ser disponibilizada aos trabalhadores, através dos meios de comunicação internos e aos clientes, através do site, por exemplo.

Os dados que lhes são fornecidos pelas agências são-no no seguimento da prestação de um serviço pedido pelo cliente, pelo que esse tratamento (comunicação de dados) encontra o seu fundamento na “necessidade para execução de contrato”. No entanto, por uma questão de transparência, as agências deverão informar os clientes da forma e finalidade (mesmo que seja implícita e indispensável à prestação do serviço), bem como das medidas de segurança tomadas para assegurar a confidencialidade da informação.

Durante o prazo necessário para prestação do serviço. Ou seja, quando termina o serviço de hotelaria deverão eliminar os dados do cliente, exceto se houver outra finalidade que determine a conservação dos dados, como por exemplo o cumprimento da obrigação legal de conservar os dados relativos à faturação, ou então mediante o consentimento do cliente para a conservação dos dados.

• Sou técnico de Radiologia numa clínica, onde faço também o elo de ligação entre empresas de TI com que trabalhamos. Na aplicação que se utiliza para registo de pacientes e os respetivos exames que realizam, guardamos sempre os dados do paciente (morada, contacto telefónico e morada e nif) única e exclusivamente para o exército da atividade, não fazemos publicidades nem marketing. Quero com isto dizer, as fichas dos pacientes contêm os dados que indico unicamente para avisar o dia e hora do exame por sms, contacto no caso de mudança de datas de exames ou outro contacto necessário para concluir o processo. Existem clínicas que não estão a entregar consentimento para recolher estes dados e a própria empresa do software diz que não! É necessário o pedido de consentimento tácito? Podemos unicamente ter a nossa política de privacidade para consulta?

Os dados dos pacientes devem ser fornecidos por eles com a devida consciência da finalidade a que se destinam. No âmbito do tratamento de dados de saúde e uma vez que se tratam de categorias especiais de dados, o consentimento explícito é, em regra, o fundamento de legitimidade mais adequado. Sem prejuízo de se aplicar a defesa dos interesses vitais do titular ou de terceiro, quando o titular esteja física ou legalmente incapaz de prestar o seu consentimento ou ainda quando o tratamento for necessário por motivos de interesse público no domínio da saúde pública ou para efeitos de medicina preventiva ou do trabalho. Nestes tratamentos, não é admissível o consentimento tácito, pelo que a simples comunicação da política de privacidade e a sua aceitação tácita não servirá como fundamento de legitimidade de tratamento.

• Tenho uma micro empresa onde sou o único trabalhador, é uma empresa de publicidade e design, gostaria de saber se tenho de contratar alguém para fazer o tratamento de dados pois a minha contabilista disse que era obrigatório?

O tratamento de dados pode ser feito (e é, naturalmente, feito) por si. Não tem de contratar ninguém para o fazer. Cenário diferente será a obrigação de ter um Encarregado de Proteção de Dados (vulgarmente apelidado de DPO). Esta obrigação aplica-se no caso de efetuar tratamento de dados:

1. que exijam controlo regular e sistemático dos titulares dos dados em grande escala;
2. em grande escala de categorias especiais de dados (dados de saúde, convicções políticas, filosóficas, dados que revelem a origem racial ou étnica, entre outros) ou de dados pessoais relativos a condenações penais ou infrações.

À partida, o negócio referido não se integra nestas categorias. Porém, se alguma destas circunstâncias se lhe aplicar, deverá designar um Encarregado de Proteção de Dados.