Apoio ao titular de dados pessoais
Já alguma vez se perguntou se seus dados estão bem protegidos, ou quem sabe o quê sobre si, e porquê?
Quer garantir a privacidade dos seus dados pessoais, mas não sabe como reivindicar os seus direitos digitais?
Continue a ler esta página para descobrir como a ARTIGO 80 o poderá ajudar nessa tarefa.
Dia após dia, muitas entidades públicas e privadas continuam a violar a sua privacidade, isto apesar de o RGPD estar em vigor em todos os estados-membros da UE desde maio de 2018. Muitas vezes você nem percebe que tal acontece. Felizmente, o RGPD oferece as ferramentas para se possa defender, e aos seus direitos digitais, contra práticas abusivas!
Em baixo, abordaremos os seus direitos digitais um por um e explicaremos, passo a passo, como uma pessoa singular os poderá exercer. Procuraremos não utilizar nenhum jargão legal ou linguagem desnecessariamente complicada, apenas sublinhar as medidas práticas, reais e acionáveis que qualquer indivíduo pode tomar para fazer valer os seus direitos.
No caso de ser um Associado da Artigo 80, teremos todo o prazer em o representar na defesa dos seus direitos!
Assuma o controlo
Aceda, apague, retifique ou transfira os seus dados.
O RGPD oferece aos indivíduos na UE um conjunto de direitos de proteção de dados que podem ser reivindicados contra aqueles que usam os seus dados pessoais numa escala nunca vista antes.
No entanto, o que significa fazer valer esses direitos, na prática? E o que podemos fazer, enquanto pessoas singulares, para garantir que essas organizações, e até governos, respeitem e defendam os nossos direitos?
O RGPD refere-se às entidades públicas e privadas que decidem o porquê e como as nossas informações pessoais são usadas, como “responsáveis pelo tratamento”. Ao aceder aos seus serviços ou ao usar os seus produtos, os responsáveis pelo tratamento podem criar o seu perfil detalhado. Os responsáveis pelo tratamento fazem isso para poderem anunciar diretamente outros serviços ou produtos, reencaminhar para outro conteúdo ou até vender as suas informações a terceiros.
O RGPD exige que os responsáveis pelo tratamento façam uso desses dados de maneira legal e defendam os seus direitos. Se um responsável pelo tratamento infringir essas regras, poderá estar sujeito a penalidades.
No entanto, para saber se um responsável pelo tratamento viola os seus direitos de proteção de dados, talvez seja necessário primeiro saber mais sobre os dados que ele possui sobre si.
1.º passo: descobrir o endereço de correio eletrónico para enviar o seu pedido de acesso.
2.º passo: redigir o pedido de acesso.
3.º passo: aguardar a resposta do responsável pelo tratamento.
Use o Artigo 15 como a sua ferramenta inicial:
O Artigo 15 RGPD (também conhecido como “direito de acesso”) permite que saiba quais são as informações que as empresas têm sobre si, a razão porque as possuem e o qual o propósito do seu tratamento (o que fazem com essas informações).
Pense no Artigo 15 como uma ferramenta preliminar para fazer valer os seus direitos de dados; sem as informações às quais tem direito consoante o Artigo 15, o cumprimento bem-sucedido dos seus outros direitos de dados provavelmente será mais difícil. Por exemplo, não poderá garantir que uma empresa apague todos os seus dados se, em primeiro lugar, não souber a extensão total desses dados. Ao exercer o seu direito de acesso, também poderá descobrir que alguns dos seus outros direitos de dados encontram-se a ser violados por um responsável pelo tratamento sem o seu conhecimento.
Em que medida pode o Artigo 15 ajudar-me?
O Artigo 15 do RGPD oferece vários direitos diferentes, mas relacionados. Estipula: (a) o direito de saber se o responsável pelo tratamento possui dados sobre si e, em caso afirmativo, quais são esses dados; (b) o direito à informação sobre esses dados (por exemplo, quem os recebe, por que é que os dados se encontram a ser tratados pelo responsável pelo tratamento, por quanto tempo serão mantidos, a sua origem); (c) o direito a uma cópia desses dados e informações — gratuita.
A diferença entre os “seus dados” e “informações sobre os seus dados” é subtil, mas importante. Se pedir a um responsável pelo tratamento apenas uma cópia dos seus dados, tudo o que poderá receber em troca será uma cópia dos dados pessoais que eles adquiriram sobre si (por exemplo, a sua idade, data de nascimento, sexo, nacionalidade, etc.). Embora este seja um bom começo, tal não lhe dará a imagem completa a que tem direito nos termos do Artigo 15 RGPD.
O direito de acesso à informação traduz-se no direito de ser informado de todos os pontos seguintes:
- Porque é que o responsável pelo tratamento tem esses dados sobre si;
- As categorias desses dados, se os dados são sensíveis e se requerem proteção especial;
- Se o responsável pelo tratamento compartilhou os seus dados com terceiros e, em caso afirmativo, quem são essas partes;
- Por quanto tempo o responsável pelo tratamento armazena os seus dados;
- Quais são os seus outros direitos em relação ao responsável pelo tratamento, incluindo o direito de corrigir os seus dados, apagar os seus dados (em determinadas circunstâncias) ou restringir o tratamento, ou se opor ao responsável pelo tratamento continuar a tratar os seus dados;
- Se o responsável pelo tratamento não obteve os seus dados pessoais diretamente de si, deve informá-lo ainda das suas fontes (onde foram os dados obtidos);
- Se o responsável pelo tratamento usar os seus dados num processo de tomada de decisão automatizado, como para fins de IA, ou se os seus dados forem aplicados num algoritmo, deverá facultar-lhe informações “significativas” sobre a lógica por trás desse algoritmo — o significado e as consequências, que o responsável pelo tratamento prevê para o uso das suas informações nesse contexto;
- Se os seus dados são enviados para fora da União Europeia e, em caso afirmativo, que salvaguardas foram implementadas para proteger os seus dados.
Como posso exercer os meus direitos?
1.º passo: descobrir o endereço de correio eletrónico para enviar o seu pedido de acesso.
O pedido de acesso pode ser feito por correio eletrónico, carta ou mesmo fax, desde que fique um registo escrito desse pedido. Pode simplesmente enviar uma mensagem eletrónica (ou endereçar a sua carta para) uma empresa ou órgão estatal cujo uso dos seus dados deseja saber mais.
O endereço de correio eletrónico relevante geralmente pode ser encontrado na secção “política de privacidade” ou “fale connosco” do sítio web do responsável pelo tratamento. Geralmente, terá um nome como privacidade@empresa.pt. Não deve ser difícil de encontrar um endereço específico para o qual possa enviar o seu pedido, o RGPD exige que os responsáveis pelo tratamento tornem essas informações facilmente acessíveis. Em situações onde não houver um endereço de correio eletrónico específico, pode usar os detalhes de contacto gerais do responsável pelo tratamento.
2.º passo: redigir o pedido de acesso.
Especifique o seu nome ou outro identificador usado pelo responsável pelo tratamento (por exemplo, um nome de utilizador da conta) e que procura uma confirmação de que o responsável pelo tratamento trata os seus dados, uma cópia de todos os dados tratados e qualquer informação adicional que gostaria de ter sobre o tratamento dos seus dados (verifique a lista acima).
Inclua a data no texto se você enviar o seu pedido num anexo ao correio eletrónico ou numa carta. Isso esclarece o prazo disponível ao responsável pelo tratamento para fornecer as informações.
Para ajudar o responsável pelo tratamento a atender ao seu pedido com mais eficiência, inclua algumas informações que ajudariam a identificar a sua conta, como o seu número de telefone (se você o forneceu), nome de utilizador ou nome da conta, ou endereço IP. Isso será particularmente útil se tiver um nome e sobrenome comuns.
Especifique como gostaria de receber as informações (por exemplo, eletronicamente, ou por correio eletrónico).
3.º passo: resposta do responsável pelo tratamento.
Assim que o responsável pelo tratamento receber o seu pedido, terá um mês para responder.
O responsável pelo tratamento deve responder de forma concisa, nomeadamente:
Usa linguagem inequívoca (deve ficar claro o que acontece com os seus dados)
fornece informações concretas e definitivas,
sem frases abstratas ou explicações ambivalentes, como “os dados podem ser transferidos para um país terceiro”;
abstém-se de usar linguagem ou terminologia excessivamente legalista, técnica ou especializada;
evita a fadiga de informações (ou seja, não sobrecarrega deliberadamente com informações).
Geralmente, a informação deve ser fornecida por escrito, mas pode ser comunicada por meios eletrónicos (por exemplo, por correio eletrónico) ou fornecida oralmente, se assim o solicitar.
O que devo fazer se descobrir que os meus direitos foram violados?
Tal como uma aula de ginástica que parecia uma boa ideia na altura da inscrição, é importante poder mudar de ideia e desistir de certas coisas para as quais você se inscreveu. O RGPD garante que o mesmo seja possível, em determinadas situações, quando der o seu consentimento para que os seus dados sejam processados. Nos termos do Artigo 7(3) RGPD, tem o direito de retirar o seu consentimento para processar os seus dados a qualquer momento. Antes do RGPD, o direito de retirar o consentimento não constava explicitamente da legislação da UE; a sua inclusão no RGPD é um esclarecimento importante do conjunto de direitos de proteção de dados disponíveis para as pessoas singulares na UE.
No entanto, a maioria do aconselhamento sobre a retirada de consentimento atualmente disponível, concentra-se em dizer às empresas e organizações como elas devem estruturar as suas práticas de negócios. Em comparação, quase não há orientação que ajude as pessoas singulares sobre como eles podem reivindicar o seu direito de retirar o consentimento. É aqui que entram os passos abaixo descritos — continue a ler para descobrir como pode exercer o seu direito de retirar o seu consentimento ao tratamento de dados pessoais.
Como é interpretado o consentimento segundo o RGPD? Qual é o papel do consentimento no RGPD?
Segundo o RGPD, o consentimento é apenas um dos seis fundamentos legais que uma empresa, organização ou outra entidade deve usar para processar legalmente os seus dados. O consentimento deve ser uma “indicação dada livremente, específica, informada e inequívoca” por uma declaração ou ação afirmativa clara, de que concorda com o processamento dos seus dados.
O fundamento legal usado para processar os seus dados deve ser explicado na política de privacidade ou nos termos de uso da organização, ou empresa que trata os seus dados. Se você não conseguir encontrar essas informações, a outra parte viola as suas obrigações de transparência do RGPD e tem então o direito de acessar essas informações através de um pedido de acesso. (Para fazer um pedido de acesso aos dados, consulte a secção “Direito de acesso do titular dos dados”).
Em que caso posso retirar o meu consentimento?
O direito de revogar o seu consentimento só é aplicável quando o processamento dos seus dados for baseado no consentimento. Quando o tratamento se basear na necessidade contratual (por exemplo, a sua morada para a entrega de mercadorias), ou para cumprir um requisito legal (por exemplo, comunicação por parte da sua entidade patronal dos seus dados de segurança social para o processamento do imposto sobre o rendimento), este direito não se aplica.
Se esta informação for difícil de encontrar, ou não se encontrar na política de privacidade, a culpa é do responsável pelo tratamento, não a sua. O RGPD exige que os controladores especifiquem o fundamento legal que usam para tratar os seus dados, num formato claro e legível, antes de concordar com o processamento. Também tem o direito de pedir ao responsável pelo tratamento para informá-lo sobre o fundamento legal do processamento e receber essas informações no prazo de um mês após a solicitação ao responsável pelo tratamento.
Quais são as consequências de retirar o meu consentimento?
O responsável pelo tratamento deve interromper o processamento dos seus dados e (apagá-los) assim que você retirar o seu consentimento. O direito de retirar o consentimento não é retroativo, o que significa que quaisquer operações de tratamento de dados que ocorreram antes de você revogar o seu consentimento não se tornarão ilegais após a retirada. O responsável pelo tratamento também não é obrigado a apagar os seus dados pessoais tratados antes de você retirar o consentimento; só serão obrigados a apagar esses dados caso não exista outro fundamento legal que justifique o seu processamento contínuo.
Quando posso exercer o meu direito de revogar o consentimento?
Pode retirar o seu consentimento a qualquer momento.
Como posso exercer o meu direito de revogar o consentimento, na prática?
A entidade que adquire ou trata os seus dados (referida no RGPD como responsável pelo tratamento) deve informá-lo do direito de retirar o consentimento ao tratamento dos dados a qualquer momento, antes de o fornecer. Nesse momento, o responsável pelo tratamento também deve informá-lo de como poderá retirar o seu consentimento e as eventuais consequências, para poder decidir da maneira mais informada possível. Esse aconselhamento deve estar facilmente acessível (por exemplo, numa política de privacidade ou na caixa de informações incluída na captura do seu consentimento. Se der consentimento por telefone, a informação deverá ser-lhe lida).
Em geral, deve poder retirar o seu consentimento ao tratamento dos dados da mesma maneira que o deu. As Diretrizes da Autoridade Europeia para a Proteção de Dados (AEPD), de maio de 2020, esclarecem que deve poder retirar o seu consentimento gratuitamente, sem que tal implique a diminuição do nível de serviço prestado e sem que a retirada seja no seu prejuízo. A AEPD é o órgão da UE responsável pela aplicação consistente do RGPD sendo composto por representantes de cada Autoridade Supervisora dos estados-membros.
As etapas específicas para retirar o consentimento podem diferir ligeiramente de caso para caso, pois dependerá de como você o prestou. Apesar disso, uma regra geral aplica-se a todos os casos:
Deverá ser tão fácil retirar quanto dar consentimento. Em outras palavras, a maneira como retira o consentimento deve refletir a maneira como você o prestou, independentemente da sua situação.
1.º Passo: identifique para onde precisa enviar o pedido para retirar o consentimento ao tratamento.
O pedido para retirar o consentimento ao tratamento deve ser realizado da mesma forma que você a deu; por exemplo. Se deu o seu consentimento através de um formulário ‘on-line’, deve haver uma ligação de desativação fácil de encontrar no sítio web da mesma empresa; se você o deu quando transferiu um aplicativo, poderá retirar o consentimento através do mesmo aplicativo, ou se o prestou pelo telefone, poderá retirar o consentimento através do mesmo número.
No entanto, se essas opções não estiverem disponíveis, ainda poderá retirar o seu consentimento entrando em contacto com o responsável pelo tratamento por escrito, declarando que retira o consentimento ao tratamento dos seus dados.
Para fazer isso, pode simplesmente enviar uma mensagem eletrónica para a empresa em questão informando que retira o consentimento ao tratamento dos seus dados.
O endereço de correio eletrónico relevante geralmente pode ser encontrado na secção “política de privacidade” ou “fale connosco” do sítio web do responsável pelo tratamento. Geralmente, terá um nome como privacidade@companhia.pt ou legal@publicauthority.eu. O RGPD exige que os responsáveis pelo tratamento tornem essas informações de contacto facilmente acessíveis. Onde não houver um endereço de correio eletrónico específico, pode usar os detalhes de contacto geral do responsável pelo tratamento.
2.º Passo: redigir o pedido para retirar o consentimento ao tratamento.
(Este passo pode não ser necessário se retirar o seu consentimento através de um formulário ‘online’ num sítio web ou aplicação, quando disponível)
Especifique o seu nome ou outro identificador usado pelo responsável pelo tratamento (por exemplo, um nome de utilizador da conta) e pretende retirar o consentimento que deu para o processamento.
Inclua a data do seu pedido no texto se o fizer através de um anexo ao correio eletrónico ou numa carta. Isso esclarece o prazo que o responsável pelo tratamento tem ao seu dispor para interromper o processamento.
Para ajudar o responsável pelo tratamento a atender ao seu pedido com mais eficiência, inclua algumas informações que ajudariam a identificar a sua conta, como o seu número de telefone (se você o forneceu quando se inscreveu), nome de utilizador ou nome da conta, ou endereço IP.
3.º Passo: resposta do responsável pelo tratamento
Assim que o responsável pelo tratamento receber o seu pedido, deve interromper o tratamento dos seus dados imediatamente. Visto que o consentimento é retirado, será obrigado a apagar esses dados, desde que não haja outro fundamento legal para o armazenamento contínuo desses dados.
Deve ainda receber a confirmação do responsável pelo tratamento de que o tratamento dos seus dados com base no consentimento foi interrompido.
4.º Passo: O que devo fazer se existir incompatibilidade entre como dei e como posso retirar o meu consentimento?
Se não puder retirar o seu consentimento da mesma forma que o deu, tem o direito de apresentar uma reclamação junto da sua autoridade de proteção de dados (CNPD) ao abrigo do Artigo 77(1) do RGPD.
Na sua reclamação, pode especificar que o responsável pelo tratamento violou o Artigo 7(3) RGPD, o que significa que ele pode estar sujeito a uma multa. O Artigo 83(5)(a) do RGPD permite que uma violação do Artigo 7(3) pelo controlador esteja sujeita a uma multa de até 20 milhões de Euros ou 4% da faturação anual total.
Se precisar de ajuda para avaliar os elementos legais da resposta de um responsável pelo tratamento, entre em contacto com a ARTIGO 80 para discutir os próximos passos.
Esta página é conteúdo aberto
Adaptado de noyb - Atribuição-Não-Comercial (CC BY-NC 3.0)