Os dados pessoais são qualquer informação relacionada com uma pessoa identificada ou identificável (ou seja, titular de dados). O termo "identificável" refere-se àqueles que podem ser identificados direta ou indiretamente, em particular por referência a um identificador específico.
Um titular dos dados é você (ou seja, a pessoa singular a quem os dados pessoais se referem). Um titular dos dados refere-se a qualquer pessoa individual que pode ser identificada, direta ou indiretamente, através de um identificador como o nome, um número de ID, dados de localização ou através de fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social da pessoa.
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) é uma lei federal nos Estados Unidos que foi concebida para fornecer os padrões de privacidade para proteção dos registos médicos dos pacientes e outras informações de saúde fornecidas a cirurgiões, planos de saúde, hospitais, associados comerciais e outros prestadores de cuidados de saúde.
Ao abrigo da HIPAA, a Informação de Saúde Protegida (ISP) é informação sobre saúde em qualquer forma, incluindo registos físicos, registos eletrónicos ou informação verbal sobre o estado de saúde de um indivíduo, prestação de cuidados de saúde ou pagamento de cuidados de saúde, criada ou recolhida por uma entidade abrangida que pode ser associada a um determinado indivíduo. Existem 18 identificadores HIPAA que tornam informações de saúde em ISP.
O Regulamento Geral sobre a Proteção de Dados (RGPD) é um regulamento na legislação da UE sobre proteção de dados e privacidade na União Europeia e no Espaço Económico Europeu. O RGPD regula a forma como as empresas protegem os dados pessoais dos cidadãos da UE.
As categorias especiais de dados pessoais ao abrigo do RGPD incluem dados que revelam a origem racial e étnica, opiniões políticas, convicções religiosas ou filosóficas ou ser membro de um sindicato, assim como dados genéticos, dados biométricos para a finalidade de identificar uma pessoa singular de forma única, dados relativos a saúde ou dados relativos à vida sexual ou orientação sexual da pessoa singular.
Os dados relativos à saúde significam dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de cuidados de saúde, que revelam informação sobre o respetivo estado de saúde.
Tratamento significa qualquer ação realizada nos dados pessoais ou nos conjuntos de dados pessoais, quer seja por meios automatizados ou não. Exemplos de tratamento incluem a recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição. Basicamente, qualquer coisa que possa imaginar que poderá querer fazer com os dados pessoais é considerada tratamento.
O tratamento dos dados pessoais é legítimo com o consentimento informado de um indivíduo ou quando necessário, o que pode incluir para a execução de um contrato, para cumprir a legislação europeia, para proteger a vida de alguém, para executar uma tarefa no interesse público ou para funções oficiais ou para legitimar interesses.
A anonimização significa tornar os dados pessoais anónimos de tal forma que o titular dos dados deixa de ser identificável. Isto exige que todos os identificadores utilizados por um responsável pelo tratamento dos dados ou por outra pessoa identifiquem razoavelmente e que o indivíduo seja removido. A informação que é verdadeiramente anónima não está coberta pelo RGPD.
A pseudonimização significa o tratamento de dados pessoais de tal forma que os mesmos deixam de poder ser associados a um determinado titular de dados sem a utilização de informações adicionais. As informações adicionais são mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não são atribuídos a uma pessoa singular identificada ou identificável. As informações às quais foram removidos ou substituídos os identificadores para pseudonimizar os dados ainda são dados pessoais ao abrigo do RGPD.
A definição de perfil é qualquer forma de tratamento automático de dados pessoais que avalia aspetos pessoais, em particular para analisar e prever aspetos que dizem respeito às suas preferências pessoais ou interesses, fiabilidade ou comportamento, localização ou movimentos.
O consentimento é o ato claro e afirmativo que estabelece uma indicação dada livremente, específica, informada e não ambígua com que um titular de dados concorda com o tratamento dos seus dados pessoais.
Se o tratamento de dados pessoais requerer o consentimento, o mesmo deve ser obtido separadamente. Fornecer um aviso de privacidade não substitui a obtenção de consentimento.
Um responsável pelo tratamento refere-se à entidade que, por si só ou em conjunto com outros, determina as finalidades e meios de tratamento de dados pessoais. Os responsáveis pelo tratamento exercem controlo sobre as finalidades e meios de tratamento de dados pessoais. Os responsáveis pelo tratamento devem cumprir com e demonstrar conformidade com todos os princípios de proteção de dados, assim como os outros requisitos do RGPD. Também são responsáveis pela conformidade do(s) seu(s) subcontratante(s). Se dois ou mais responsáveis pelo tratamento determinam conjuntamente as finalidades e meios do tratamento dos mesmos dados pessoais, são responsáveis conjuntos pelo tratamento. No entanto, não são responsáveis conjuntos pelo tratamento se estiverem a tratar os mesmos dados para finalidades diferentes.
Os subcontratantes são entidades que tratam dados pessoais em nome do responsável pelo tratamento. Se não existir uma finalidade designada para tratamento de dados e você apenas atua de acordo com as instruções do cliente, provavelmente é um subcontratante, mesmo que tome decisões técnicas sobre como trata os dados. Ao tratar em nome de um responsável pelo tratamento, o responsável pelo tratamento deve utilizar apenas subcontratantes que forneçam garantias suficientes para implementar medidas técnicas e organizativas adequadas de forma a que o tratamento cumpra os requisitos do RGPD, incluindo a segurança do tratamento e a proteção dos direitos do titular dos dados.
Os subcontratantes podem envolver outra entidade também conhecida como "subcontratante ulterior" para realizar atividades de tratamento específicas em nome do responsável pelo tratamento dos dados. Em tais circunstâncias, as mesmas obrigações de proteção de dados definidas no contrato entre o responsável pelo tratamento e o subcontratante serão impostas ao subcontratante ulterior (ou seja, medidas técnicas e organizativas adequadas).
Quando o subcontratante ulterior não cumpre as suas obrigações em termos de proteção de dados, o subcontratante inicial continuará a ser totalmente responsável perante o responsável pelo tratamento pelo cumprimento das suas obrigações. O envolvimento do subcontratante ulterior deve ser feito com autorização prévia específica ou geral escrita do responsável pelo tratamento. No caso de autorização escrita geral, o subcontratante informará o responsável pelo tratamento de quaisquer alterações pretendidas relativamente à adição ou substituição dos subcontratantes ulteriores, dando assim oportunidade ao responsável pelo tratamento de se opor a tais alterações.
Qualquer pessoa que não seja titular dos dados, um responsável pelo tratamento ou subcontratante é designado de terceiro. Exemplos de terceiros podem ser uma empresa de serviços de limpeza contratada para limpar os seus escritórios ou a manutenção de equipamento da empresa. Embora possam ocasionalmente encontrar dados pessoais quando se movimentam no escritório ou equipamento, podem executar as suas tarefas sem aceder a dados. Adicionalmente, terceiros estão contratualmente proibidos de acederem ou tratarem dados pessoais que uma empresa conserve enquanto responsável pelos dados.
O destinatário dos dados é qualquer outra entidade a quem possamos divulgar dados pessoais, independentemente de serem terceiros.
Um Acordo de Tratamento de Dados (ATD) é um contrato legalmente vinculativo que dita os direitos e obrigações de cada parte relativamente à proteção de dados pessoais.
Para implementar medidas eficazes e aplicáveis que garantam transferência de dados internacionais seguras, o Comité Europeu para a Proteção de Dados adotou recomendações sobre a salvaguarda de transferências internacionais de dados em 18 de junho de 2021. Essas recomendações baseiam-se no acórdão "Schrems II" do Tribunal de Justiça da União Europeia que definiu uma obrigação para os responsáveis pelo tratamento que transferem Dados Pessoais para países não pertencentes à UE tomarem medidas adicionais para tornar a transferência segura de dados.
As cláusulas contratuais-tipo contêm obrigações contratuais entre o exportador de dados e o importador de dados e direitos para os indivíduos cujos dados pessoais são transferidos.
A abordagem europeia ao tratamento de dados inclui o conceito chave de "Conheça a sua transferência" que diz respeito ao país para o qual os Dados Pessoais são transferidos para tratamento. Com base no acórdão "Schrems II" do Tribunal de Justiça da União Europeia, um responsável pelo tratamento que transfere dados pessoais para um país não pertencente à UE é obrigado a tomar medidas adicionais para tornar a transferência de dados segura.
O termo "países terceiros" não está definido no RGPD, mas resulta dos tratados primários da UE para referir países que não são parte desses tratados. É um termo comum na legislação da UE e é normalmente usado para referir qualquer país que não faz parte de uma organização que deve submeter-se a essa legislação. Como o RGPD é aplicável como direito na UE e no EEE, "países terceiros" refere-se a esses países que não são Estados-Membros da UE ou do EEE.
A "decisão de adequação" da Comissão Europeia confirma que outro país, território ou setor fora da UE fornece um nível equivalente de proteção para dados pessoais similar à UE. Uma lista atualizada de países com decisões de adequação pode ser encontrada aqui (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Um Acordo de Associado Comercial (AAC) é um acordo escrito que especifica cada parte. Responsabilidades quando se trata de tratamento de ISP. As garantias satisfatórias devem ser por escrito entre uma entidade coberta e um associado comercial. Todos os AAC devem ser revistos e assinados pelo departamento responsável pela privacidade.
O conceito de Privacidade desde a conceção (Privacy by Design) requer que a privacidade e a proteção de dados estejam incorporados ao longo de todo o ciclo de vida de um projeto desde o estado inicial da conceção, passando pela implementação, utilização e eliminação. As principais funções do conceito de Privacidade desde a conceção (Privacy by Design) incluem ser proativo, implementar controlos de privacidade e demonstrar respeito pela proteção de titulares de dados. A ideia é que a Equipa de Privacidade seja notificada nas fases iniciais de uma ideia de projeto para que os controlos de privacidade possam ser considerados.
Ao abrigo da HIPAA, uma violação das ISP é a aquisição, acesso, utilização ou divulgação de ISP não seguras, numa forma não permitida pela HIPAA, o que coloca um risco significativo de danos financeiros, reputacionais ou outros para um indivíduo. A Regra de Notificação de Violação HIPAA requer que entidades cobertas e associados comerciais notifiquem os indivíduos afetados, HHS e, em alguns casos, os órgãos de comunicação de uma violação de ISP não seguras.
Ao abrigo do RGPD, uma violação de dados de dados pessoais significa uma violação de segurança que leva à destruição acidental ou ilegítima, perda, alteração, divulgação não autorizada de, ou acesso a dados pessoais transmitidos, armazenados ou tratados de outra forma.