O tratamento de dados pessoais de utilizadores de serviços é um dos temas que está cada vez mais na ordem do dia. A protecção jurídica concedida pelo ordenamento português aos dados pessoais é efetivamente muito forte e algo que preocupa cada vez mais as empresas que lidam com este assunto diariamente, sem um guia a seguir para realizar esse tratamento.
Uma empresa que pretenda iniciar tratamento de dados pessoais de terceiros, seja a que título for, deve preencher os requisitos da Lei 67/98, de 26 de Outubro, em que se inclui o cumprimento das seguintes obrigações:
- Notificar a Comissão Nacional de Protecção de Dados dos tratamentos de dados pessoais que pretenda efetuar, antes do seu início, isto é, antes de começar a recolher os dados pessoais;
- Notificar a CNPD de quaisquer alterações posteriores que venham a ocorrer;
- Proceder ao tratamento de dados de forma lícita e com respeito pelo princípio da boa-fé;
- Recolher os dados para finalidades explícitas e legítimas;
- Recolher apenas os dados adequados, pertinentes e não excessivos em relação à finalidade para que são recolhidos e tratados;
- Prestar ao titular dos dados todas as informações exigidas por lei, sem descuidar a informação específica para a recolha de dados em redes abertas;
- Manter os dados exatos e atualizados, assegurando que são apagados ou retificados os dados inexatos ou incompletos;
- Não utilizar os dados para uma finalidade diferente daquela que motivou a recolha. Caso pretenda uma outra utilização, deverá solicitar a autorização prévia da CNPD e o consentimento dos titulares dos dados;
- Assegurar o exercício do direito de acesso, sem restrições e sem demoras, aos titulares dos dados. As informações registadas sobre o titular devem ser-lhe transmitidas em linguagem clara e rigorosamente correspondente ao conteúdo do registo;
- Garantir o exercício do direito de retificação dos titulares dos dados;
- Garantir gratuitamente o direito de oposição ou de eliminação dos dados utilizados para marketing direto, quando requerido pelo titular;
- Assegurar o consentimento prévio dos titulares dos dados ao envio de comunicações eletrónicas não solicitadas, quando não se trate de clientes. Caso o titular seja cliente, deverá ser dada a possibilidade de o titular se opor ao tratamento dos seus dados para efeitos de marketing em todas as comunicações eletrónicas efetuadas;
- Recolher e manter as declarações de consentimento expresso do titular para o tratamento de dados pessoais, quando tal for exigido;
- Implementar as medidas de segurança necessárias para proteção da informação, evitando a consulta, modificação ou destruição dos dados por pessoa não autorizada, e que permitam detetar eventuais desvios de dados;
- Respeitar o sigilo profissional relativamente aos dados pessoais tratados;
- Não realizar interconexão de dados pessoais, salvo disposição legal ou autorização da CNPD;
- Não comunicar dados a terceiras entidades que não tenham os seus tratamentos notificados à CNPD;
- Destruir os dados pessoais logo que findo o período de conservação autorizado;
- Interromper imediatamente o tratamento de dados pessoais, quando ocorra desconformidade com a lei e tenham recebido da entidade competente diretriz nesse sentido.
A comunicação à Comissão Nacional de Protecção de Dados é feita por formulário eletrónico no site da Comissão, devendo ser indicado:
- Os dados da empresa;
- A finalidade do tratamento dos dados;
- A lista de dados pessoais tratados;
- A forma de realização da recolha dos dados;
- Se existirá comunicação de dados a terceiros, ou algum fluxo de dados para fora da UE;
- O prazo máximo de conservação dos dados;
- E como poderão os cidadãos aceder aos seus dados e pedir a sua correção, isto é, para que morada.
A comunicação tem um valor de € 175, que deverá ser pago no prazo de 3 dias úteis após o preenchimento do formulário.