No próximo dia 25 de Maio entrarão em vigor as novas regras relativas a proteção de dados pessoais, previstas no Regulamento (UE) 2016/679 de 27 de abril - RGPD.

Temos como prioridade o cumprimento deste regulamento e a garantia da segurança dos dados que nos são fornecidos pelos nossos clientes. Nesse sentido estamos a 

adoptar os procedimentos necessários por forma a assegurar os principios mencionados no RGPD.

As regras de proteção de dados aplicam-se aos daods relativos às empresas?

Não. As regras aplicam-se apenas a dados pessoais relativos a pessoas singulares. Não dizem respeito a dados relativos a empresas nem a outras entidades jurídicas.

No entanto, as informações respeitantes a empresas unipessoais podem constituir dados pessoas caso permitam a identificação de uma pessoa singular. As regras também

se aplicam a todos os dados pessoais relacionados com pessoas singulares no âmbito de uma atividade profissional, como os trabalhadores de uma empresa/organização,

incluindo endereços de correio eletrónico profissionais como «nome.apelido@empresa.pt» ou os números de telefone profissionais dos trabalhadores.

Artigos 1.º, 2.º e 3.º e considerandos 13,14,15,18,19 e 21 do RGPD

Que dados podem ser tratados e em que condições?

O tipo e a quantidade de dados pessoais que uma empresa/organização pode tratar dependem do motivo pelo qual estão a efetuar o tratamento (motivo jurídico) e da finalidade do mesmo.

A empresa/organização deve respeitar várias regras fundamentais, nomeadamente:

• os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados  («licitude, lealdade e transparência»);
• devem existir finalidades específicas para o tratamento dos dados e a empresa/organização deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais. Uma empresa-organização não pode

simplesmente recolher dados pessoais para fins indefinidos («limitação das finalidades»);

• a empresa/organização deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade («minimização dos dados»);
• a empresa/organização deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique («exatidão»);
• a empresa/organização não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha;
• a empresa/organização deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos («limitação da conservação»);
• a empresa/organização deve instalar garantias técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou

ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas («integridade e confidencialidade»).

Exemplo

A sua empresa/organização  é uma agência de viagens. Quando recolhe os dados pessoais dos seus clientes, deve explicar em linguagem clara e simples o motivo pelo qual precisa dos dados,

de que modo os irá utilizar e durante quanto tempo tenciona conservá-los. O tratamento deve ser efetuado de forma a respeitar os princípios fundamentais da proteção de dados.