Lista de Verificação de Conformidade com o RGPD

Os dados pessoais são:

1. Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
2. Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades;
3. Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
4. Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
5. Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
6. Tratados de uma forma que garanta a sua segurança

(Artigo 5.º)

O tratamento só é lícito se e na medida em que se aplique pelo menos um dos seguintes aspetos:

1. O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
2. O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
3. O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
4. O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
5. O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
6. O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

{Artigo 6.}

É proibido o tratamento de dados pessoais sensíveis, tais como dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou filiação sindical, o tratamento de dados genéticos, dados biométricos para identificar uma pessoa singular de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou à orientação sexual de uma pessoa singular, a menos que se aplique uma das seguintes situações:

1. Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas;
2. Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social;
3. Se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;
4. Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
5. Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social;
6. Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde;
7. Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.

(Artigo 9.º)

• O consentimento foi dado livremente?
• O consentimento é apresentado de um modo claramente distinguível dos outros assuntos, de uma forma inteligível e facilmente acessível, utilizando uma linguagem clara e simples?
• O Titular dos Dados foi informado do seu direito de retirar o Consentimento?
• A sua organização consegue demonstrar que o consentimento foi obtido?

(Artigo. 7º)

(a menos que o Titular dos Dados já tenha essa informação)?

A sua Organização deve fornecer as seguintes informações

1. A identidade e os contactos da Organização;
2. Os contactos do Encarregado da Proteção de Dados, se for caso disso;
3. As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
4. Quando o tratamento se baseia em interesses legítimos, quais são esses interesses;
5. Os destinatários de categorias de dados pessoais, se os houver;
6. Se for caso disso, o facto de a sua Organização tencionar transferir dados pessoais para um país terceiro ou organização internacional;
7. Período de conservação ou os critérios utilizados para determinar esse período;
8. Existência de direito de acesso, direito de retificação, direito de apagamento, direito de limitação, direito de oposição, direito à portabilidade dos dados;
9. Se o tratamento se basear no consentimento, o direito de retirar o consentimento a qualquer altura;
10. O direito de apresentar uma reclamação a uma autoridade de controlo;
11. A existência de decisões automatizadas, incluindo a definição de perfis e informações úteis relativas à lógica subjacente;
12. Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados.

(Artigo 13.º)

[Ver exceções relevantes]

A sua Organização deve fornecer as seguintes informações:

1. A identidade e os contactos da Organização;
2. Os contactos do Encarregado da Proteção de Dados, se for caso disso;
3. As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
4. As categorias dos dados pessoais em questão;
5. Quando o processamento se baseia em interesses legítimos, quais são esses interesses;
6. Os destinatários de categorias de dados pessoais, se houver;
7. Se for caso disso, o facto de a sua Organização tencionar transferir dados pessoais para um país terceiro ou organização internacional;
8. Período de conservação ou os critérios utilizados para determinar esse período;
9. Existência de direito de acesso, direito de retificação, direito de apagamento, direito de limitação, direito de oposição, direito à portabilidade dos dados;
10. Se o tratamento se basear no consentimento, o direito de retirar o consentimento a qualquer altura;
11. O direito de apresentar uma reclamação a uma autoridade de controlo;
12. A origem dos dados pessoais;
13. A existência d decisões automatizadas, incluindo a definição de perfis e informações úteis relativas à lógica subjacente.

( Artigo 14.º)

(Artigo 15.º)

(Artigo 16.º)

(Artigo 17.º)

(Artigo 18.º)

(Artigo 20.º)

(Artigo 21.º)

(Artigo 22.º)

Para garantir que a sua Organização considerou as respetivas obrigações de privacidade e as esteja a implementar na execução do tratamento de dados pessoais, as suas Organizações devem ter políticas de proteção de dados em vigor que regulem diferentes aspetos das operações de tratamento.

(Artigo 5.º)

1. O nome e os contactos do responsável pelo tratamento e do encarregado da proteção de dados (se este for nomeado);
2. As finalidades do tratamento;
3. A descrição das categorias de titulares dos dados e das categorias de dados pessoais;
4. As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo destinatários estabelecidos em países terceiros ou organizações internacionais;
5. As transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo o nome do país ou organização internacional e a documentação que comprove a existência das garantias adequadas (ou seja, com base no consentimento, necessário para executar um contrato, interesse público);
6. Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
7. Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança.

(Artigo 30.º)

A sua Organização deve ter em conta o estado da arte, os custos e a natureza, o âmbito e o contexto do tratamento, para determinar o que é apropriado para os riscos em causa. A segurança abrange medidas organizativas (ou seja, pessoas, processos) e técnicas, que podem incluir pseudonimização, cifragem, garantia de integridade, confidencialidade, disponibilidade e resiliência permanentes, e a capacidade de restabelecer de forma atempada, entre outros.

(Artigo 32.º)

Funcionários e Pessoas Autorizadas que lidam com dados pessoais de outros Funcionários ou Clientes (como funcionários, agentes e pessoas autorizadas da RCi) devem receber formação para garantir que lidam com isso de acordo com o RGPD.

A sua Organização deve manter um registo da formação e dar formação de atualização e melhoria de competências

( Artigo 29.º)

A notificação deve envolver detalhes sobre a natureza da violação, as prováveis consequências e mitigações que estão a ser tomadas para a resolver.

A sua Organização adotou medidas técnicas e organizativas para permitir notificar o Titular dos Dados da ocorrência de uma violação de dados pessoais quando isso for de elevado risco para os direitos do Titular dos Dados em questão?

(Artigo 33.º, 34.º)

Nesse caso, essa relação rege-se por um contrato escrito que deve satisfazer os requisitos mínimos impostos pelo RGPD. A sua Organização também deve garantir que recebeu "garantias suficientes" dos respetivos subcontratantes de que eles podem implementar medidas (técnicas e organizativas) para atender aos requisitos do RGPD.

(Artigo 28.º)

Os mecanismos de transferência aprovados são os seguintes:

1. Um país que tenha uma constatação de nível de proteção adequado por parte da Comissão Europeia;
2. Regras empresariais vinculativas;
3. Cláusulas contratuais-tipo aprovadas pela Comissão Europeia;
4. Com o consentimento do titular dos dados;
5. A transferência é necessária para a execução de um contrato com o titular dos dados;
6. A transferência é de interesse público;
7. A transferência é necessária para estabelecer, exercer ou defender ações judiciais;
8. A transferência é necessária para proteger os interesses vitais de uma pessoa se esse titular estiver física ou legalmente incapaz de dar o seu consentimento.

(Artigos 44.º a 49.º)