PplWare Mobile

Regulamento Geral de Proteção de Dados – O que precisa de saber


Pedro Pinto

Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

  1. Bruno M. says:

    Pergunta mesmo muito estúpida:

    Uma empresa terá que fazer novos contratos aos seus funcionários que os tenham sem termo?

    • Sergio says:

      Não.
      Tem de fazer uma adenda ao contrato de trabalho ou por intermédio de alteração ao regulamento interno da empresa.
      Nesse caso, os funcionários têm de confirmar explicitamente que tiveram conhecimento das condições do regulamento e que aceitam suas condições

    • byte2dust says:

      Creio não haver necessidade para tal, no extremo apenas um documento e/ou adenda ao contracto seja o suficiente, isto caso haja clausulas no mesmo que vão em contrário com a nova lei, pois o que o código do trabalho dita é que quaisquer clausulas omissas do contracto de trabalho aplica-se o que está estipulado na lei.

      Nota: Não sou nenhum expert na matéria

      • Ze Manel says:

        “pois o que o código do trabalho dita é que quaisquer clausulas omissas do contracto de trabalho aplica-se o que está estipulado na lei.”

        Não é só no contrato de trabalho, é em todos os outros contractos, termos, condições de serviço, políticas de privacidade, etc.

        Isto não quer dizer que no fundo, se os dados recolhidos e a sua utilização não for para o que é estritamente aplicável por lei (ex: facturação, elaboração de um contracto de trabalho, etc) na realidade não é preciso fazer nada em relação ao RGPD?

        Hum..não sei.

  2. Sergio says:

    Continua a ser um artigo muito incompleto.
    Continua a focar-se apenas no RGPD como uma ferramenta para nos proteger de marketing abusivo e falando de cliente.
    Uma pergunta muito simples, apenas para arranhar a superfície: então e o tratamento dos dados pessoas dos próprios funcionários??

  3. Paulo says:

    Uma coisa cozinhada para obrigar toda a gente a depender da publicidade do Google e Facebook.
    Esses serão os únicos beneficiários.
    Será um drama para muitas empresas.
    Vai tudo atrás sem pensar…

    • David says:

      É exactamente o contrário.

      • João Roberto de Oliveira Furtado says:

        Não é o contrário. Google e Facebook e outras são empresas que já operavam a um nível quase GDPR-Compliant , e para além disso são empresas que têm os recursos para fazer as alterações necessárias.
        Pelo contrário as novas startups (principalmente as Europeias, visto que são essas que mais facilmente irão se focar no mercado Europeu) ficarão em séria desvantagem, tendo de investir em DPOs, direito ao esquecimento, especialistas em GDPR, etc.. em vez de se focarem no produto
        Em ultima análise este regulamento vêm beneficiar o status-quo das gigantes tecnológicas americanas e criar mais entraves (entre tantos já existentes) no desenvolvimento da inovação Europeia

  4. João Leandro says:

    Como é que uma empresa que “acaba” de ser criada pode enviar a sua apresentação a outra que até se lhe poderá ser útil?
    Publicidade google? publicidade facebook?
    Cumps

    • mlopes says:

      a legislação portuguesa sobre esta matéria ainda nem sequer saiu existindo apenas a proposta de lei nº 120/XII.
      o artigo aqui antes publicado e que o @Pedro Pinto aqui referenciou diz muito mais sobre a matéria do que pode parecer à primeira vista

      • Maria Ana says:

        Não precisa de sair legislação em Portugal, o RGPD, qualquer Regulamento, é directamente aplicável a todos os Estados Membros da União Europeia… Daí o escândalo! Os Estados Membros apenas poderão lesgislar sobre algumas (muito poucas) questões. E a partir de 25 de Maio de 2018, o RGPD é aplicável independentemente de Portugal ter ou não ter legislado na pouca matéria que deveria!
        Este Regulamento foi desenvolvido exactamente para garantir uma harmonização em toda a UE, que visa proteger as Pessoas Singulares relativamente ao tratamento de dados pessoais!

        • Luis Borges says:

          Correto.

        • mlopes says:

          está apenas a constatar o óbvio. essa é diferença óbvia entre regulamentos e diretivas. nada de novo.
          contudo, já leu a proposta de lei portuguesa? convém. quem leu sabe que muita coisa poderá ficar melhor explicada depois da legislação entrar em vigor e que nem tudo é “uma colher de pau” 😉

        • mlopes says:

          está apenas a constatar o óbvio. essa é a diferença entre regulamento e diretiva. nada de novo portanto.
          contudo já leu a proposta de lei? é que quem leu que muito poderá ficar esclarecido e que nem tudo é “uma colher de pau” 😉

    • Carlos says:

      Pode fazer sem qualquer problema. Os dados de empresas são públicos e pode usá-los, desde que com peso e medida. O RGDP visa proteger os dados guardados de individuos, pode na mesma pesquisar por empresas, descobrir os seus emails, e contactá-las desde que não recorra a spam

  5. Paulo Pires says:

    Eu tenho uma loja de informática, neste caso tenho que contactar todos os meus clientes a perguntar se posso continuar a guardar os seus dados no meu software de faturação e aplicação de e-mail? E tenho que ter algum comprovativo da resposta do cliente em caso de inspeção ou tenho que informar alguma entidade sobre a resposta dada pelo cliente?

    • Sergio says:

      Obtiveste os dados a partir de uma relação comercial. Não necessitas de apagar nem ter consentimento.
      Apenas não podes utilizar os dados pessoais, por exemplo, se quiseres fazer publicidade, dado que o propósito com que os mesmos foram facultados não foi esse.

      • Luis Borges says:

        Depende dos dados. Ter uma relacao comercial nao ‘e suficiente.

      • João Leandro says:

        Se existir um contacto comercial (o cliente enviou um email ou telefonou) agora posso contacta-lo para fins comerciais ? (Imaginando que terminou a validade de qualquer coisa e tem de ser renovado)

      • Rui Csta says:

        “Não necessitas de apagar nem ter consentimento.” Não é “não necessita”, mas sim, não podes pagar os dados de software de faturação por um período de temo “salvo erro são 5 anos) porque a lei não te permite. Não podes simplesmente apagar a faura do software de faturação por muito que a pessoa o exija

    • João Leandro says:

      aqui penso que tens de conseguir confirmar que foi o cliente autorizou mesmo a teres os dados. Seja por formulário seja escrito.
      Caso esteja errado alguém que me corrija

      • Carlos says:

        Dados para efeitos fiscais (facturação) é um caso à parte. Senao eu devia à empresa X e obrigava a remover os meus dados e perdia assim a minha dívida. Como é óbvio tal não será possível.

    • Maria Ana says:

      O RGPD aplica-se aos dados pessoais de Pessoas Singulares (Proteger as pessoas singulares)
      Pelo que percebo está a falar de B2B?
      Existe a questão de que os e-mails institucionais que contenham o nome da pessoa, são considerados Dados Pessoais, aí é dúbio, mas não pediria nunca o consentimento, esse tratamento baseia-se numa obrigação contractual (envio da factura por um serviço prestado ou produto vendido).

  6. João Leandro says:

    Se por exemplo a empresa onde trabalho emitir certificados e antes da validade terminar posso contactar o cliente? ou apenas com a devida autorização?

  7. Rui says:

    Parece-me tudo muito simples, é só limitar o acesso aos dados pessoais de clientes e funcionários nada mais!

  8. Marta says:

    Muito Boa Tarde, trabalho numa Associação de Solidariedade Social e temos cerca de 13000 associados, neste caso é obrigatório informar todos os sócios para a autorização da utilização dos dados? Possuímos uma base de dados e dados ainda em papel. Enviamos trimestralmente o nosso jornal associativo.
    para nós enquanto Associação é muito difícil contratar empresas de consultadoria, existe algum apoio de orientação para estas questões a que possamos aceder gratuitamente?
    Obrigada

    • Jorge Matias says:

      Esses 13000 associados preencheram um formulário para se tornarem associados ? Se sim, já tem o consentimento dos titulares dos dados, afinal sem esses dados não seria possível tornarem-se sócios.
      Quanto à base de dados ser em papel, a CNPD recomenda que se informatize, no entanto, os dados existentes em papel terão de ser guardados, preferencialmente numa sala/cofre/local de acesso restrito em que apenas pessoas autorizadas possam aceder. (Um exemplo que às vezes dou é que a funcionária de limpeza por vezes sabe mais que os próprios internos… ela limpa o pó a tudo e por isso também pode ter acesso a tudo, nem que seja o contacto visual necessário com o documento para limpar o pó por baixo do mesmo).
      Quanto à portabilidade, acesso, alteração e pedido de remoção dos dados têm 72H para responder aos pedidos – podendo faze-lo por carta ou email, prefencialmente num formato digital ( arquivo em extensão .csv – excel, por exemplo)

      Resumindo:
      – Não têm de pedir consentimento dos dados pois foram fornecidos de forma voluntária pelo titular de dados quando se tornou sócio
      – Não podem fazer o tratamento ou venda a terceiros destes dados para fins de marketing, publicidade, etc

      – Quanto ao envio do jornal, se no formulário de inscrição o titular dos dados informou de forma voluntária o ‘desejo’ de receber o jornal (por exemplo uma caixinha para ser macada com um “x”) não precisam de fazer mais nada… No entanto caso o titular dos dados não tenha expressado de forma voluntária o ‘desejo’ de receber o jornal, penso que terão que fazer um pedido de consentimento ao titular dos dados…

      • Marta says:

        Agradeço o esclarecimento

      • Maria Ana says:

        No caso de comunicações de Marketing (e-mail ou sms) através de dados obtidos de uma relação comercial anterior aplica-se o PECR (Privacy Electronic communication Regulation), sim existe mais legislação nesta matéria para além do RGPD.
        Nestes casos, estamos a falar de “Soft-opt-in” onde não é necessário pedir novo consentimento, é no entanto obrigatório, oferecer em cada comunicação a possibilidade de “Opt-out”. Tem também de informar os titulares dos dados qual o fundamento jurídico para tratar os dados deles (eu diria neste caso os: interesses legítimos ds Associação e não o consentimento), no entanto é necessária uma avaliação de proporcionalidade.
        A comunicação de Marketing deve ser feita apenas pela sua Associação e deve ser no âmbito do assunto que deu inicio à vossa relação “comercial”, i.e., o vosso jornal, os vossos eventos,….
        Convém no entanto ser sempre transparente e que a forma de o cliente gerir as suas autorizações, seja de fácil acesso e TRANSPARENTE!

  9. Sérgio Carvalho says:

    Ola marta. Para situações desse generobé relativamente fácil do meu ponto de vista. Os contactos que tens foram obtidos por inscrição? Só tens que questionar por mail se pretendem continuar a receber. Depois constrois um documento com

    – onde guardas os dados.
    – quem tem acesso
    – dizea que ser vê para envio do jornal
    – como apagas os dados se te pediirem(por escrito ou email)
    – e que podes disponibilizar esses dados em excel,( podes fazer automaticamente ou manualmente se não tiveres aplicação)

    O básico é isto. Ha ébsituacoes muito complexas. Principalmente na admin publica.(câmaras) acho que o adiamento das coimas só piorou. Bastava não fiscalizarem 6 meses (sem dizer à s instituicoes)

    É a minha opinião. Em relação aos pontos que referi se esqueci e alguma coisa façam favor

  10. Tiago C says:

    Uma questão, talvez já debatida, mas assim fico com a certeza.

    Tenho um site online, onde as pessoas se registam (email e password).
    Os dados pessoais (como nome, morada, e telefone), são inseridos e editados ou até eliminados se assim o utilizador bem intender em qualquer momento.
    O site não gere nem trabalha os dados pessoais para nada e é informação meramente irrelevante para o site.

    Terei na mesma de pedir o consentimento? Ou tal como li, visto não vender dados para marketing e o utilizador poder gerir os seus dados, já não necessito?

    Obrigado

    • David says:

      Tem de rever que dados guarda, durante quanto tempo e porque.
      O recomendado é que envie um email a todos os registados, a solicitar o consentimento explicito para manter esses dados, explicadando o porquê, e com a automático cancelamento da conta ou quando não existe uma resposta afirmativa.

      Limpa a sua base de dados e fica protegido.

      Trabalho num grande grupo de webhosting e cloud alemão/austríaco. Aqui as multas mínimas vão ser bem mais pesadas, e ninguém quer arriscar.

      Até porque praticamente todos os alemães têm seguro de advogado, logo em caso de dúvida põe logo processo a ver se cola…

    • Maria Ana says:

      Acho que não percebi bem, mas se não precisam dos dados para nada, porque os recolhem, para que finalidade?
      Minimização dos Dados (só recolher os dados que realmente necessitamos relativamente à finalidade).
      Não se esqueça que o simples armazenamento, consulta, organização…. são consideradas operações de tratamento.

    • alkapone says:

      O único problema que tem aí é não ter nenhuma razão plausível para a recolha desses dados , para registo no site o email/user e password seria suficiente. Ao fazer a recolha de dados pessoais terá de fundamentar porque os recolhe e o que faz com eles. Sendo irrelevantes deveria remover.

  11. darkvoid says:

    Muito bom resumo.
    parabéns.

  12. Humberto says:

    Metade das receitas da CNPD são provenientes de coimas. Na minha opinião trata-se de mais um imposto escondido.

  13. Antonio says:

    Tenho um restaurante onde tenho um computador pós para a faturação .
    que tenho que fazer ?
    tenho que pedir ao meu informatico que me vanha atualizar o programa para a nova lei ?
    Obrigado

    • João Leandro says:

      Olá António,
      Penso que nada. Que dados pessoais contam nesse computador?
      Será apenas usado para emissão de facturas que o cliente solicitou .

      Novamente, caso esteja errado alguém que me corrija .

    • Paulo Pires says:

      Eu liguei para a CNPD e expliquei que tinha uma loja de informática e que tinha os dados dos clientes para faturação e receção de equipamentos e disseram-me que desde que fosse só para faturação sem envio de publicidades e outras coisas não havia necessidade de fazer nada pois são dados que são necessários para faturação.

  14. Antonio says:

    Boa noite
    Consta o nome, morada, contribuinte, por exemplo

  15. SM says:

    Bom dia a todos,
    Trabalho numa empresa de informática, onde fazemos a gestão dos sistemas de diversas empresas, o que significa que tenho armazenada diversa informação, como por exemplo, dados de login em servers, vpn’s etc etc, visto alguns logins serem constituidos pelos nomes dos funcionários dessas ditas empresas sendo assim um dado pessoal, tenho de pedir consentimento a esses funcionários por escrito?
    Um administrador de sistemas terá de pedir consentimento aos utilizadores antes de criar novas contas de AD por exemplo?

  16. João Leandro says:

    Teremos de responder aos pedidos de remoção dos dados pessoais ?

  17. Alexandre Duarte says:

    Bom Dia,
    tenho um site que caso o utilizador queira preenche um formulário para colocar o email e receber de tempos a tempos uma newslleter com informação de novos conteúdos adiocinados ao site. Utilizo o mailchimp para recolher e guardar esses emails. Enviei um email a todos os emails da lista a pedir para confirmarem novamente se querem receber a newsletter em virtude do novo RGPD, todos os que não respoderem apago os emails da base de dados. É este um prodecimento correcto ou terei que fazer mais alguma coisa?

    • Alexandre Duarte says:

      nota: caso o subscritor queira pode em qualquer altura cancelar o recebimente da newslleter

    • Joao Ptt says:

      Era explícito para a pessoa que estava a colocar o seu e-mail para receber novidades do seu site?
      Enviou um primeiro e-mail para confirmar que foi mesmo essa pessoa dona desse e-mail a subscrever o serviço e que a mesma ia receber novidades do seu site nesse e-mail? E caso a pessoa não confirma-se apagava o e-mail da base de dados?

      Se sim, está tudo bem. Se não, deve obter o consentimento e quem não responder no prazo de 1 semana, digamos, apaga permanentemente da base de dados. O prazo indicado é apenas da minha cabeça, não têm base legal… em teoria se não confirmou o e-mail anteriormente como pertencendo à mesma pessoa (qualquer um pode colocar o e-mail de qualquer outra pessoa) e que a mesma sabia que era para receber novidades do seu site não o deveria ter de todo… pois pode estar a enviar mensagens não solicitadas.

      Deve ainda certificar-se que no fim de cada mensagem têm um link funcional ou outra forma que permita ao utilizador remover-se da base de dados de forma fácil.

      • Alexandre Duarte says:

        Muito obrigado pela resposta.

        sim tudo o que descreve na sua resposta é o que faço.

        O email só é adicinado à lista da newsletter se houver confirmação do primeiro email enviado a solicitar a confirmação da subscrição, para verificar se foi mesmo o dono do email que solicitou o envio da newsletter.

        Obrigado

  18. Carlos Reis says:

    O Twitter nem me deixa entrar mesmo depois de concordar com as condições.

  19. Miguel says:

    Quantas aos documentos de faturação o que a lei obriga é a guardar os documentos, não as fichas dos clientes. Logo as fichas de clientes e os seus dados devem ser eliminados.

  20. Bruh says:

    Estou a adorar ter o meu email bombardeado por notificações de todos os sites em que me inscrevi, a avisar que actualizaram política de privacidade. Estes dois últimos dias têm sido uma festa. -.-

  21. int3 says:

    O pplware continua a não estar em compliance. “Este site utiliza cookies. Ao navegar no site estará a consentir a sua utilização. ” Deveria de ser opt-in.

    • Joao Ptt says:

      Isso era muito à frente… isso e não ter à partida seleccionado “Notifique-me de comentários seguintes por e-mail.”… talvez estejam só à espera de uma visita da CNPD para verificar até que ponto as multas é mesmo uma coisa a sério… ou é só mais uma daquelas tangas que depois ninguém aplica.

  22. Paulo Pires says:

    Ora aqui está um excelente artigo da Exame Informática para tirar as dúvidas sobre se é necessário comunicar ou não os clientes: http://exameinformatica.sapo.pt/noticias/mercados/2018-05-25-RGPD-tem-recebido-muitos-e-mails-e-SMS-de-empresas–Muitos-deles-nao-deveriam-ter-sido-enviados

    Pelo que diz no artigo se o cliente forneceu os dados para faturação não é necessário pedir consentimento desde que os dados sejam utilizados sempre para os mesmos tipos de artigos.

  23. Ze says:

    Tenho uma pastelaria com o software winrest , tenho que mandar a empresa que me dá assistência atualizar o software?
    Alguém me pode dar esta informação.
    Obrigado

  24. José António says:

    Tenho uma pastelaria com o software winrest.
    Tenho que pedir a quem me dá assistência para me atualizar o software?
    Obrigado

  25. José Manuel Meirinho says:

    Pertenço a um clube de hóquei patins e patinagem artística, com sócios e registo de atletas das modalidades.
    Pergunto, a que me obrigo e que se torna necessário obter dos sócios e pais de atletas menores para autorização dos dados obtidos.
    Os sócios assinam a sua proposta de admissão. Quanto aos atletas é normal a publicação de fotos das suas competições e habitualmente colocamos no nosso FaceBook. Agradeço a vossa ajuda.

  26. Luís Magalhães says:

    Bom dia,
    No âmbito do controlo de acessos, os vigilantes, podem solicitar a amostragem de um documento com fotografia para comprovar a identidade do visitante?
    Confiante e antecipadamente grato pela a atenção que queiram dispensar-me, aguardo, o vosso precioso feedback.

  27. Diogo Pereira says:

    Qual é a diferença mais importante entre a 95/46/EC (Diretiva 95/46/CE) e o General Data Protection Regulation (GDPR)?

  28. João Paulo Rodrigues Assunção says:

    Boa tarde, fui alvo de uma filmagem por telemóvel de um funcionário de uma empresa em que me coloca a mim e há empresa que presto serviço em exposição, colocada numa das redes sociais, onde vemos muito bem eu e o carro da empresa que presto serviço.
    Gostaria se saber na lei da proteção de dados o que deva fazer.
    Sei que o vídeo já foi apagado mas tenho-o em minha posse ainda .

  29. Maria Guedes says:

    Posso solicitar a uma entidade pública a listagem de quem acedeu aos meus dados pessoais, visto que o fizeram para proveito próprio e não para fins de trabalho.
    Tenho esse direito, certo?

  30. Paula says:

    Depois de cancelar uma conta bancária durante quanto tempo ainda guardam os meus dados? É no caso da meo, pode facultar os meus dados ?

  31. Paulo Murteira says:

    Obrigado pelo artigo.
    Uma questão: as empresas são «obrigadas» por esta lei a destruir os dados dos empregados que já saíram da empresa? Tenho um caso concreto de uma empresa onde trabalhei entre 1989 e 1990 que não querem passar a declaração para entrega na Seg. Social invocando que não têm nada sobre mim porque tiveram que destruir os dados antigos devido a esta lei. (No site da S.S. as minhas remunerações deste período não aparecem…) Esta informação é correcta? Muito obrigado pela atenção e tempo.

    • Hugo Nabais says:

      Isso é desculpa de mau pagador, pois o RGPD não obriga de todo a apagar os dados dos (ex)colaboradores!

      O regulamento prevê o direito a apagar os dados pessoais das pessoas que o solicitem, o que é diferente.
      No entanto trata-se apenas dos dados pessoas! Ou seja poderia pedir para apagar os dados pessoais que não fossem abrangidos pela legislação laboral.
      Os dados como o nome, identificação, pagamentos etc etc têm e devem de ser guardados ao abrigo da legislação de trabalho!

  32. Jose Carvalho says:

    Condomínio.
    Queria saber se ainda posso colocar o mapa das mensalidades na vitrina do hall do prédio, o mapa tem só o numero da fracção por exemplo : 9-C e depois ate que data está pago ou o que falta pagar.

  33. António Sousa says:

    Ainda não consegui entender isso do RGPD. Um blogue que só recolha o nome da pessoa, e-mail e IP nos comentários precisa ou não preocupar-se com o RGPD? Como é que é isso das multas (4% da facturação)? Como é que uma pessoa que não tem qualquer rendimento proveniente de um blogue pode ser multada assim?

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.