Os dados podem ser utilizados para outra finalidade?

Resposta

Sim, mas só em alguns casos. Se a sua empresa/organização tiver recolhido dados com base em interesses legítimos, num contrato ou em interesses vitais, pode utilizá-los para outra finalidade, mas apenas depois de verificar que a nova finalidade é compatível com a finalidade original.

Devem ser ponderados os seguintes aspetos:

• a ligação entre a finalidade original e a finalidade nova/subsequente;
• o contexto em que os dados foram recolhidos (qual é a relação entre a sua empresa e a pessoa?);
• qual o tipo e a natureza dos dados (são sensíveis?);
• as possíveis consequências do tratamento subsequente previsto (de que modo irá afetar a pessoa?);
• a existência de proteções adequadas (como cifragem ou pseudonimização).

Caso a sua empresa/organização pretenda utilizar os dados para fins estatísticos ou para investigação científica, não é necessário efetuar o teste de compatibilidade.

Caso a sua empresa/organização tenha recolhido os dados com base em consentimento ou num requisito legal, não poderá efetuar o tratamento subsequente para além do que se encontra abrangido pelo consentimento original ou pela disposição legal. Qualquer tratamento subsequente exigirá a obtenção de um novo consentimento ou de uma nova base jurídica.

Exemplos

É possível um tratamento subsequente

Um banco tem um contrato com um cliente relativo a uma conta bancária e a um empréstimo pessoal. No final do primeiro ano, o banco utiliza os dados pessoais do cliente para verificar se este é elegível para um empréstimo com melhores condições e para um plano de poupança. Informa o cliente desse facto. O banco pode tratar os dados do cliente de novo, uma vez que as novas finalidades são compatíveis com as finalidades iniciais.

Não é possível um tratamento subsequente

O mesmo banco pretende partilhar os dados do cliente com companhias de seguros, com base no mesmo contrato relativo à conta bancária e ao empréstimo pessoal. Este tratamento não é permitido sem o consentimento expresso do cliente, uma vez que a sua finalidade não é compatível com a finalidade original para a qual os dados foram tratados.

Referências

• Artigo 5.º, n.º 1, alínea b), artigo 6.º, n.º 4, artigo 89.º, n.º 1; considerandos 39 e 50 do RGPD
• Grupo do Artigo 29.º para a Proteção de Dados, Parecer 03/2013 sobre a limitação das finalidades (WP 203))

Further processing is possible

A bank has a contract with a client to provide the client with a bank account and a personal loan. At the end of the first year the bank uses the client’s personal data to check whether they are eligible for a better type of loan and a savings scheme. It informs the client. The bank can process the data of the client again as the new purposes are compatible with the initial purposes.

Further processing isn’t possible

The same bank wants to share the client’s data with insurance firms, based on the same contract for a bank account and personal loan. That processing isn’t permitted without the explicit consent of the client as the purpose isn’t compatible with the original purpose for which the data was processed.

• Article 5(1)(b) and Articles 6(4) and 89(1) and Recitals (39) and (50) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)