Quando pode ser efetuado o tratamento de dados pessoais?

Resposta

A sua empresa/organização só pode efetuar o tratamento de dados nas circunstâncias seguintes:

• com o consentimento das pessoas em causa;
• quando existir uma obrigação contratual (um contrato entre a sua empresa/organização e um cliente);
• para cumprir uma obrigação legal (prevista na legislação da UE ou na legislação nacional);
• quando o tratamento for necessário para o desempenho de uma tarefa de interesse público (prevista na legislação da UE ou na legislação nacional);
• para proteger os interesses vitais de uma pessoa;
• tendo em vista os interesses legítimos da sua organização, mas apenas após ter confirmado que os direitos e as liberdades fundamentais da pessoa cujos dados está a tratar não serão gravemente afetados. Se os direitos da pessoa prevalecerem sobre os seus interesses, não pode ser efetuado o tratamento com base em interesses legítimos. A avaliação com vista a determinar se os interesses legítimos da sua empresa/organização no tratamento prevalecem sobre os das pessoas em causa depende das circunstâncias específicas do caso.

Exemplos

Consentimento
A sua empresa/organização disponibiliza uma aplicação de música e solicita o consentimento dos cidadãos para efetuar o tratamento das suas preferências musicais a fim de lhes poder oferecer sugestões personalizadas de músicas e concertos.

Obrigação contratual
A sua empresa/organização vende bens através da internet. Pode efetuar o tratamento dos dados que sejam necessários para tomar medidas, a pedido da pessoa, antes de celebrar o contrato, bem como para a execução do contrato. Pode, portanto, efetuar o tratamento do nome, do endereço de entrega, do número de cartão de crédito (se o pagamento for efetuado por cartão), etc.

Obrigação jurídica
Uma pessoa possui uma empresa com trabalhadores. Para obter cobertura da segurança social, a lei obriga-o a fornecer os dados pessoais (por exemplo, o rendimento semanal dos seus trabalhadores) à autoridade competente.

Interesse público
Exemplo: uma associação profissional, como a Ordem dos Advogados ou a Ordem dos Médicos, investida de autoridade pública para esse fim, pode instaurar processos disciplinares contra alguns dos seus membros.

Interesses vitais de uma pessoa
Um hospital está a tratar um doente que sofreu um acidente rodoviário grave. O hospital não precisa do consentimento do doente para pesquisar a sua identidade e verificar se a pessoa existe na base de dados do hospital, a fim de consultar o seu processo clínico ou os contactos dos familiares mais próximos.

Interesses legítimos da organização
A sua empresa/organização garante a segurança da sua rede através do controlo da utilização dos dispositivos informáticos dos seus trabalhadores. A empresa só pode tratar legitimamente dados pessoais para este efeito se escolher o método menos intrusivo no que diz respeito aos direitos dos seus trabalhadores à privacidade e à proteção de dados, por exemplo limitando a acessibilidade de determinados sítios web. (Importa salientar que tal não pode ser feito em Estados-Membros da UE cujo direito nacional tenha regras mais rigorosas para o tratamento no contexto laboral.)

Referências

• Artigo 6.º; considerandos 40 a 49 do RGPD
• Grupo do Artigo 29.º para a Proteção de Dados, Parecer 06/2014 sobre o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º da Diretiva 95/46/CE

Examples

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).