Definições
Para efeitos do artigo 4.º do RGPD, importa referir a definição dois seguintes termos:
Autoridade de controlo: Autoridade pública independente criada por um Estado-Membro, nos termos do artigo 51.º.
Consentimento: Manifestação de vontade, livre, específica, informada e explícita, pela qual o/a titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Dados biométricos: Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos.
Dados genéticos: Dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa.
Dados pessoais: Qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (titular dos dados). É considerada identificável, uma pessoa singular que possa ser identificada, direta ou indiretamente, designadamente por referência a um identificador (Ex.: nome; número de identificação; morada; telefone; endereço de correio eletrónico; dados de localização; identificadores por via eletrónica – Via Verde; IP de um computador; matrícula de automóvel; etc.) ou a um ou mais elementos específicos da sua identidade física, fisiológica, genética, mental, psíquica, económica, cultural ou social. Exemplos de dados não considerados pessoais: N.º de registo de empresa; Endereço de correio eletrónico tipo geral@cm-aveiro.pt; Dados anonimizados; etc.
Dados relativos à saúde: Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
O RGPD prevê ainda as seguintes categorias de dados sensíveis, que não podem ser objeto de tratamento a não ser em casos excecionais: Origem racial ou étnica; Opiniões políticas; Convicções religiosas ou filosóficas; Filiação sindical; Dados genéticos; Dados biométricos que permitam identificar uma pessoa de forma inequívoca (ex.: impressões digitais ou imagens faciais); Dados relativos à saúde ou dados relativos à vida sexual (ex.: dados relativos a consultas médicas ou baixas médicas); Dados relativos à orientação sexual.
Definição de perfis: Qualquer forma de tratamento automatizado de dados pessoais, que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.
Destinatário: Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro.
Encarregado/a de Proteção de Dados: Trabalhador/a em funções públicas ou consultor externo, que tem como função principal informar e aconselhar quanto ao cumprimento das obrigações relevantes em matéria de proteção de dados. [EPD]
Pseudonimização: Tratamento de dados pessoais, de forma que deixem de poder ser atribuídos a um/a titular de dados específico/a, sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas, para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
Responsável pelo tratamento: Entidade (Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo) que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
Subcontratante: Entidade (Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo) que trata os dados pessoais por conta do responsável pelo tratamento destes (Ex.: Empresa que procede ao processamento de salários; Empresa que armazena o arquivo de processos administrativos de uma entidade pública; etc.).
Terceiro: Pessoa singular ou coletiva, autoridade pública, serviço ou organismo que não seja o/a titular dos dados, o/a responsável pelo tratamento, o/a subcontratante, mas sob a autoridade direta destes/as, está autorizada a tratar os dados pessoais ou a aceder aos mesmos (Ex.: Empresa que, para prestar assistência informática, necessite de aceder a dados pessoais; Trabalhador/a em funções públicas que proceda à introdução de dados pessoais num ficheiro informático; etc.).
Tratamento de dados: Operação ou conjunto de operações efetuadas sobre dados pessoais, ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados (Ex.: recolha; registo; organização; estruturação; conservação; adaptação ou alteração; recuperação; consulta; utilização; divulgação por transmissão; difusão ou qualquer outra forma de disponibilização; comparação ou interconexão; limitação; apagamento ou destruição).
Exemplos de operações de tratamento: Processamento salarial e gestão de pessoal; Destruição de documentos que contenham dados pessoais; Colocação de fotografias pessoais em websites; Recolha de elementos identificativos num serviço de receção; etc..
Violação de dados pessoais: Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.