👉 Use este direito como ponto de partida para exercer os restantes.

O RGPD confere aos cidadãos da União Europeia um conjunto de direitos de proteção de dados que podem ser reivindicados contra quem utiliza os seus dados pessoais — numa escala nunca antes vista.

Mas o que significa, na prática, fazer valer esses direitos? E o que podemos fazer, enquanto pessoas singulares, para garantir que as organizações — públicas ou privadas — e até os próprios governos respeitam e protegem os nossos direitos?

O RGPD designa por “responsáveis pelo tratamento” as entidades que decidem as finalidades e os meios de tratamento dos dados pessoais. Ao aceder aos seus serviços ou utilizar os seus produtos, esses responsáveis podem criar perfis detalhados sobre si. Fazem-no, por exemplo, para lhe apresentar publicidade personalizada, recomendar conteúdos ou, em alguns casos, vender as suas informações a terceiros.

O RGPD exige que os responsáveis pelo tratamento utilizem os dados de forma lícita, transparente e leal, garantindo a proteção dos seus direitos. Se um responsável infringir estas regras, poderá ser sujeito a sanções.

No entanto, para saber se os seus direitos estão a ser respeitados, é essencial, antes de mais, compreender que dados pessoais a entidade possui sobre si.

1.º passo: descobrir o endereço de correio eletrónico para enviar o seu pedido de acesso.

2.º passo: redigir o pedido de acesso.

3.º passo: aguardar a resposta do responsável pelo tratamento.

Use o Artigo 15 como a sua ferramenta inicial

O Artigo 15.º do RGPD — conhecido como direito de acesso — permite-lhe saber que informações uma entidade detém sobre si, por que motivo as recolheu e com que finalidade as utiliza.

Pense neste artigo como a chave de entrada para os restantes direitos. Sem conhecer o tipo e a extensão dos dados tratados, será difícil exercer eficazmente outros direitos, como o apagamento ou a retificação. Ao exercer o direito de acesso, poderá também descobrir que outros direitos seus estão a ser violados, sem que disso tivesse conhecimento.

Em que medida o Artigo 15 o pode ajudar?

O Artigo 15.º do RGPD concede vários direitos complementares, nomeadamente:

1. A razão pela qual o responsável pelo tratamento possui os seus dados;
2. As categorias desses dados e se incluem dados sensíveis que requerem proteção especial;
3. Eventuais terceiros com quem os dados foram partilhados;
4. O período de conservação dos seus dados;
5. Os outros direitos que lhe assistem — retificação, apagamento, limitação, oposição — e como os pode exercer;
6. As fontes dos dados, caso não tenham sido obtidos diretamente junto de si;
7. A existência de decisões automatizadas, incluindo perfis baseados em algoritmos ou inteligência artificial, e explicações sobre a sua lógica e impacto;
8. A eventual transferência dos seus dados para fora da União Europeia e as salvaguardas aplicadas.

Como posso exercer os meus direitos?

A forma mais direta é fazer um pedido de acesso aos dados. Este processo chama-se “pedido de acesso do titular dos dados”. É simples — pode parecer complexo à primeira vista, mas torna-se claro depois de compreender os passos.

1.º passo: descobrir o endereço de correio eletrónico correto

O pedido pode ser feito por correio eletrónico, carta ou fax, desde que fique registado por escrito. Procure o endereço de contacto na secção “Política de Privacidade” ou “Contactos” do sítio web da organização. Costuma ter nomes como privacidade@empresa.pt ou dados@instituicao.eu. Se não existir um endereço específico, use o contacto geral — o RGPD obriga as entidades a tornarem estas informações facilmente acessíveis.

2.º passo: redigir o pedido de acesso

Inclua o seu nome completo ou outro identificador (ex.: nome de utilizador, número de cliente, etc.); solicite a confirmação de tratamento e uma cópia dos seus dados pessoais; indique a data e o meio preferido de resposta (por exemplo, email). Para facilitar a identificação, pode incluir informação adicional como número de telefone, endereço IP ou nome da conta.

3.º passo: aguardar a resposta do responsável pelo tratamento

Após receber o seu pedido, o responsável tem um mês para responder. A resposta deve ser clara, completa e compreensível, evitando jargão técnico e expressões vagas. Pode ser enviada por escrito, por meios eletrónicos ou, se o solicitar, comunicada oralmente.

O que fazer se descobrir que os seus direitos foram violados?

Se concluir que os seus direitos de proteção de dados foram violados, tem o direito de:

• Solicitar a retificação ou apagamento dos dados;
• Pedir a limitação do tratamento;
• Apresentar uma reclamação junto da Comissão Nacional de Proteção de Dados (CNPD).

Se precisar de apoio para interpretar a resposta de uma entidade ou para decidir os próximos passos, contacte a Artigo 80 – Associação Portuguesa para a Defesa do Titular de Dados Pessoais, que poderá analisar o caso e representá-lo junto das autoridades competentes.

Direito a retirar o consentimento ao tratamento de dados

Tal como uma aula de ginástica que parecia uma boa ideia no momento da inscrição, é importante poder mudar de opinião e desistir de certas coisas às quais aderiu. O RGPD garante que o mesmo seja possível, em determinadas situações, quando dá o seu consentimento para que os seus dados sejam tratados.

Nos termos do Artigo 7.º, n.º 3 do RGPD, tem o direito de retirar o seu consentimento ao tratamento dos seus dados a qualquer momento. Antes da entrada em vigor do RGPD, este direito não constava expressamente da legislação da União Europeia; a sua inclusão representa um avanço significativo no reforço dos direitos de proteção de dados das pessoas singulares.

No entanto, a maior parte das orientações disponíveis sobre a retirada do consentimento foca-se nas obrigações das empresas e organizações, e não tanto em explicar como os cidadãos podem exercer este direito. É precisamente esse o objetivo dos passos seguintes — continue a ler para descobrir como exercer o seu direito de retirar o consentimento ao tratamento dos seus dados pessoais.

Como é interpretado o consentimento segundo o RGPD?

O consentimento é apenas um dos seis fundamentos jurídicos que permitem o tratamento lícito de dados pessoais. Segundo o RGPD, o consentimento deve consistir numa manifestação de vontade livre, específica, informada e inequívoca, através da qual o titular dos dados aceita, mediante uma declaração ou ato positivo claro, o tratamento dos seus dados pessoais.

O fundamento jurídico utilizado para tratar os seus dados deve estar claramente indicado na política de privacidade ou nos termos de utilização da entidade que os recolhe. Se essa informação não estiver disponível, o responsável pelo tratamento está a violar o dever de transparência imposto pelo RGPD, e tem o direito de solicitar essa informação através de um pedido de acesso (ver secção “Direito de acesso do titular dos dados”).

Em que casos posso retirar o meu consentimento?

O direito de retirar o consentimento só se aplica quando o tratamento se baseia no consentimento. Não é aplicável, por exemplo, quando o tratamento se baseia:

• numa obrigação contratual (ex.: utilização da morada para entrega de bens);
• numa obrigação legal (ex.: comunicação de dados à Segurança Social ou à Autoridade Tributária).

Se a informação sobre o fundamento jurídico do tratamento for difícil de encontrar, a responsabilidade é do responsável pelo tratamento, não sua. O RGPD exige que este especifique, de forma clara e acessível, a base legal utilizada antes de obter o seu consentimento. Tem ainda o direito de solicitar que lhe seja indicado o fundamento jurídico em causa, devendo o responsável responder no prazo de um mês.

Quais são as consequências de retirar o meu consentimento?

O responsável pelo tratamento deve interromper o tratamento dos seus dados e apagá-los assim que o consentimento seja retirado, exceto se existir outro fundamento jurídico que justifique a conservação desses dados.

O direito de retirar o consentimento não tem efeitos retroativos. Isto significa que o tratamento efetuado antes da retirada não se torna automaticamente ilícito. No entanto, o responsável deve deixar de utilizar os dados para as finalidades que dependiam do consentimento.

Quando posso exercer este direito?

Pode retirar o consentimento a qualquer momento, sem necessidade de justificação. O exercício deste direito deve ser tão simples quanto a sua concessão inicial.

Como posso exercer o meu direito, na prática?

O responsável pelo tratamento deve informá-lo, antes de recolher o consentimento, de que este pode ser retirado a qualquer momento, e explicar como o pode fazer e quais as eventuais consequências. Essas informações devem ser facilmente acessíveis — por exemplo, numa política de privacidade, numa nota informativa ou na própria interface onde o consentimento é recolhido. Se o consentimento for dado por telefone, a informação deve ser-lhe lida de forma clara.

De acordo com as Diretrizes do Comité Europeu para a Proteção de Dados (CEPD), de maio de 2020, a retirada do consentimento deve ser gratuita, simples e sem qualquer penalização para o titular dos dados.

Deve ser tão fácil retirar como dar consentimento. A forma de retirada deve refletir a forma como o consentimento foi dado.

1.º Passo — Identificar para onde enviar o pedido de retirada

O pedido deve ser feito pelo mesmo canal utilizado para dar o consentimento, sempre que possível. Por exemplo:

• Se deu o consentimento através de um formulário online, deve existir uma opção de desativação (link ou botão) facilmente acessível no mesmo sítio web;
• Se o consentimento foi prestado através de uma aplicação móvel, deve poder retirá-lo na própria aplicação;
• Se foi dado por telefone, deve poder retirá-lo através do mesmo número.

Caso essas opções não existam, pode enviar um pedido escrito ao responsável pelo tratamento, declarando que retira o consentimento ao tratamento dos seus dados pessoais.

O endereço de contacto relevante encontra-se normalmente na política de privacidade ou na secção “Contactos” do sítio web. Costuma ter designações como privacidade@empresa.pt ou legal@instituicao.eu. Se não existir um endereço específico, use o contacto geral. O RGPD obriga os responsáveis pelo tratamento a disponibilizar estas informações de forma clara e acessível.

2.º Passo — Redigir o pedido de retirada de consentimento

(Este passo pode não ser necessário se o fizer diretamente através de um formulário online.)

No pedido, indique:

• O seu nome completo ou outro identificador (por exemplo, nome de utilizador, número de cliente ou conta);
• Que pretende retirar o consentimento anteriormente dado para o tratamento dos seus dados pessoais;
• A data do pedido;
• Elementos adicionais que ajudem a identificar a sua conta (número de telefone, endereço IP, etc.).

Isto facilita a confirmação da sua identidade e acelera o processamento do pedido.

3.º Passo — Resposta do responsável pelo tratamento

Após a receção do pedido, o responsável deve cessar de imediato o tratamento dos seus dados e confirmar que o consentimento foi retirado. Se não existir outro fundamento jurídico que justifique a conservação, os dados devem ser apagados.

A resposta deve ser clara e escrita, podendo ser enviada por correio eletrónico. Em todos os casos, deve receber confirmação de que o tratamento baseado no consentimento foi interrompido.

4.º Passo — Se não conseguir retirar o consentimento da mesma forma que o deu

Se não lhe for permitido retirar o consentimento da mesma forma que o deu, tem o direito de apresentar uma reclamação à Comissão Nacional de Proteção de Dados (CNPD), ao abrigo do Artigo 77.º, n.º 1 do RGPD.

Pode indicar que o responsável pelo tratamento violou o Artigo 7.º, n.º 3 do RGPD. Esta infração pode ser punida com uma multa até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o montante mais elevado (Artigo 83.º, n.º 5, alínea a)).

Se precisar de apoio para analisar a resposta de uma entidade ou avaliar a legalidade do seu comportamento, contacte a Artigo 80 – Associação Portuguesa para a Defesa do Titular de Dados Pessoais, que o poderá assessorar e representar junto das autoridades competentes.

Direito de oposição

Pode opor-se ao tratamento dos seus dados pessoais nas seguintes situações:

• quando o tratamento se baseia num interesse legítimo ou numa missão de interesse público;
• quando o tratamento se destina a fins de marketing direto, incluindo a definição de perfis associada.

Após manifestar a sua oposição, o responsável pelo tratamento deve cessar imediatamente o tratamento dos seus dados, salvo se demonstrar motivos legítimos imperiosos que prevaleçam sobre os seus direitos e liberdades.

Direito de retificação

Tem o direito de corrigir dados inexatos ou completar informações em falta.

Exemplo: alterar a morada, atualizar um contacto ou corrigir um erro ortográfico no seu nome.

Direito ao apagamento (“direito a ser esquecido”)

Pode exigir que os seus dados pessoais sejam apagados quando:

• deixarem de ser necessários para a finalidade para a qual foram recolhidos;
• retirar o consentimento e não existir outro fundamento jurídico que legitime o tratamento;
• se opuser ao tratamento e não prevalecerem interesses legítimos do responsável;
• o tratamento for ilícito;
• o apagamento for necessário para cumprir uma obrigação legal.

⚠️ Exceções: este direito não se aplica quando o tratamento for necessário, por exemplo, para o cumprimento de deveres legais, por razões de interesse público ou para a defesa de direitos em processo judicial.

Direito à portabilidade dos dados

Pode solicitar os seus dados num formato estruturado, de uso corrente e leitura automática (por exemplo, CSV ou JSON) e transmiti-los a outro responsável pelo tratamento.

Este direito aplica-se apenas aos dados tratados com base no consentimento ou num contrato, e que sejam objeto de tratamento automatizado.

Direito à limitação do tratamento

Pode solicitar que o tratamento dos seus dados seja suspenso temporariamente, mantendo-os apenas armazenados, nas seguintes situações:

• contesta a exatidão dos dados;
• o tratamento é ilícito, mas prefere a limitação em vez do apagamento;
• o responsável já não necessita dos dados, mas você precisa deles para a defesa de um direito;
• aguarda o resultado da análise de uma oposição.

Durante o período de limitação, os dados só podem ser tratados com o seu consentimento, para efeitos de defesa de direitos, proteção de pessoas ou por razões de interesse público importante.

Decisões individuais automatizadas e definição de perfis

Tem o direito de não ficar sujeito a decisões baseadas exclusivamente em tratamento automatizado, incluindo a definição de perfis, que produzam efeitos jurídicos sobre si ou que o afetem de forma significativa.

Exemplo: decisões automatizadas em processos de recrutamento, concessão de crédito, seguros, publicidade segmentada ou avaliação de desempenho.

Este direito garante-lhe o acesso a informações claras e significativas sobre a lógica subjacente ao processo automatizado, bem como sobre a importância e as consequências previstas desse tratamento.

O tratamento automatizado apenas é permitido quando:

• for necessário para a execução de um contrato entre si e o responsável pelo tratamento;
• estiver autorizado por lei que preveja salvaguardas adequadas aos seus direitos e liberdades;
• ocorrer com o seu consentimento explícito.

Em qualquer destes casos, tem sempre o direito de solicitar a intervenção humana, expressar o seu ponto de vista e contestar a decisão.

Direito de apresentar reclamação a uma autoridade de controlo

Se considerar que os seus direitos de proteção de dados foram violados, pode apresentar uma queixa à Comissão Nacional de Proteção de Dados (CNPD) — www.cnpd.pt.

A Artigo 80 pode assessorá-lo na preparação da queixa e acompanhá-lo em todas as etapas do processo.

Direito a uma via de recurso judicial efetiva e indemnização

Pode recorrer aos tribunais contra decisões da Comissão Nacional de Proteção de Dados (CNPD) ou contra o responsável pelo tratamento.

Tem ainda direito a indemnização por danos materiais ou morais resultantes de uma infração ao Regulamento Geral sobre a Proteção de Dados (RGPD).

Como exercer os seus direitos

1️⃣ Identifique o responsável pelo tratamento (por exemplo, uma empresa ou autoridade pública).

2️⃣ Envie o pedido por escrito (por email, carta ou formulário online) e indique:

• o direito que pretende exercer;
• os seus dados de contacto (ex.: email ou morada);
• eventual referência de cliente ou número de conta.

3️⃣ O responsável deve responder no prazo máximo de um mês, prorrogável por dois meses em casos complexos.

4️⃣ A resposta deve ser clara, gratuita e em português. 5️⃣ Em caso de silêncio, resposta insuficiente ou negativa, pode contactar a Artigo 80 para apoio ou apresentar queixa à CNPD.

Apoio da Artigo 80

A Associação Artigo 80 pode:

• auxiliá-lo a redigir pedidos formais de exercício de direitos;
• analisar as respostas de empresas ou entidades públicas;
• intervir junto dos responsáveis pelo tratamento;
• representá-lo perante a CNPD ou em tribunal, nos termos do artigo 80.º do RGPD e do artigo 35.º da Lei n.º 58/2019.

A Artigo 80 atua de forma independente e sem fins lucrativos, promovendo a defesa dos direitos e liberdades fundamentais de todos os titulares de dados pessoais.