{"id":175,"date":"2026-01-20T00:00:00","date_gmt":"2026-01-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/pt\/checklist-conformidade-gdpr-donos-de-sites\/"},"modified":"2026-01-20T00:00:00","modified_gmt":"2026-01-19T23:00:00","slug":"checklist-conformidade-gdpr-donos-de-sites","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pt\/checklist-conformidade-gdpr-donos-de-sites\/","title":{"rendered":"Checklist completa de conformidade com o GDPR para donos de sites (com passos pr\u00e1ticos e foco em WordPress)"},"content":{"rendered":"\n

O Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados (GDPR) continua a ser uma das legisla\u00e7\u00f5es de privacidade mais abrangentes do mundo. Se tens um blog, um e-commerce, uma landing page com formul\u00e1rios, ou um SaaS, h\u00e1 um ponto que conv\u00e9m assumir logo: se processas dados pessoais de residentes da Uni\u00e3o Europeia, tens de cumprir<\/strong> \u2014 mesmo que a tua empresa esteja fora da UE.<\/p>\n\n\n\n

O impacto de falhar pode ser s\u00e9rio: o regulamento prev\u00ea coimas at\u00e9 \u20ac20 milh\u00f5es ou 4% do volume de neg\u00f3cios anual global<\/strong>, consoante o que for mais elevado. Abaixo vais encontrar uma checklist completa, organizada por \u00e1reas, com refer\u00eancias diretas a artigos do GDPR e um bloco final com passos pr\u00e1ticos para implementa\u00e7\u00e3o (incluindo considera\u00e7\u00f5es espec\u00edficas para WordPress).<\/p>\n\n\n\n

\n\n

Nota importante<\/h4>\n\n\n

Isto \u00e9 um guia geral e n\u00e3o constitui aconselhamento jur\u00eddico. Para decis\u00f5es espec\u00edficas (bases legais, reten\u00e7\u00e3o, transfer\u00eancias internacionais, DPIA, etc.), fala com um profissional qualificado.<\/p>\n\n<\/div>\n\n\n\n

O que \u00e9 o GDPR (e quando se aplica)<\/h2>\n\n\n\n

O GDPR (General Data Protection Regulation) \u00e9 uma lei de prote\u00e7\u00e3o de dados aplicada pela Uni\u00e3o Europeia desde 25 de maio de 2018<\/strong>. Define regras claras para recolher, usar, armazenar e partilhar dados pessoais. E tem um detalhe que apanha muita gente: aplica-se dentro e fora da UE<\/strong> sempre que exista tratamento de dados pessoais de residentes na UE.<\/p>\n\n\n\n

Entende o teu papel: Controller, Processor e Data Subject<\/h2>\n\n\n\n

Antes de olhares para tarefas t\u00e9cnicas (cookies, formul\u00e1rios, logs), tens de perceber que \u201cpapel\u201d a tua organiza\u00e7\u00e3o assume no tratamento. No GDPR h\u00e1 tr\u00eas pap\u00e9is-chave \u2014 e uma mesma empresa pode acumular mais do que um, dependendo do contexto.<\/p>\n\n\n\n

    \n\n
  • Data Controller (Respons\u00e1vel pelo tratamento)<\/strong>: decide porqu\u00ea<\/strong> e como<\/strong> os dados pessoais s\u00e3o tratados. \u00c9 quem carrega a responsabilidade principal de conformidade.<\/li>\n\n\n
  • Data Processor (Subcontratante)<\/strong>: trata dados pessoais em nome<\/strong> de um controller (por exemplo, um fornecedor que processa pedidos, envia emails, aloja dados). Tem obriga\u00e7\u00f5es pr\u00f3prias e tem de aplicar salvaguardas t\u00e9cnicas e organizativas.<\/li>\n\n\n
  • Data Subject (Titular dos dados)<\/strong>: a pessoa cujos dados s\u00e3o recolhidos e tratados. O GDPR existe para proteger os direitos desta pessoa.<\/li>\n\n<\/ul>\n\n\n\n

    Os 7 princ\u00edpios do GDPR (a base de tudo)<\/h2>\n\n\n\n

    Se tiveres de tomar decis\u00f5es r\u00e1pidas (que dados recolher, quanto tempo guardar, como pedir consentimento), volta sempre a estes princ\u00edpios \u2014 s\u00e3o a \u201cb\u00fassola\u201d do regulamento:<\/p>\n\n\n\n

      \n\n
    1. Licitude, lealdade e transpar\u00eancia<\/strong>: tratar dados de forma legal e informar claramente como ser\u00e3o usados.<\/li>\n\n\n
    2. Limita\u00e7\u00e3o das finalidades<\/strong>: recolher dados apenas para fins espec\u00edficos e leg\u00edtimos.<\/li>\n\n\n
    3. Minimiza\u00e7\u00e3o dos dados<\/strong>: recolher apenas o m\u00ednimo necess\u00e1rio.<\/li>\n\n\n
    4. Exatid\u00e3o<\/strong>: manter dados corretos e atualizados.<\/li>\n\n\n
    5. Limita\u00e7\u00e3o da conserva\u00e7\u00e3o<\/strong>: n\u00e3o guardar dados por mais tempo do que o necess\u00e1rio.<\/li>\n\n\n
    6. Integridade e confidencialidade<\/strong>: proteger contra acesso n\u00e3o autorizado com medidas de seguran\u00e7a adequadas.<\/li>\n\n\n
    7. Responsabiliza\u00e7\u00e3o (accountability)<\/strong>: conseguir demonstrar que est\u00e1s em conformidade.<\/li>\n\n<\/ol>\n\n\n\n

      Checklist completa de conformidade com o GDPR<\/h2>\n\n\n\n

      1) Dados (invent\u00e1rio, fluxos e pol\u00edtica de privacidade)<\/h3>\n\n\n\n

      A tua empresa tem uma lista de todos os tipos de informa\u00e7\u00e3o pessoal que det\u00e9m, a origem, com quem partilha, o que faz com isso e por quanto tempo conserva<\/h4>\n\n\n\n

      Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Isto \u00e9 um invent\u00e1rio dos tipos efetivos de dados<\/strong> (as \u201ccolunas\u201d) que est\u00e1s a guardar: por exemplo, nome, n\u00famero de identifica\u00e7\u00e3o, morada, email, IP, etc. Para cada tipo, documenta a origem, as entidades com quem partilhas, a finalidade e o per\u00edodo de reten\u00e7\u00e3o.<\/p>\n\n\n\n

      Refer\u00eancia:<\/strong> GDPR Article 30<\/strong> \u2013 Records of processing activities<\/p>\n\n\n\n

      A tua empresa tem uma lista dos locais onde guarda dados pessoais e de como os dados circulam entre eles<\/h4>\n\n\n\n

      Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      N\u00e3o \u00e9 s\u00f3 \u201ca base de dados MySQL\u201d. Inclui tamb\u00e9m armazenamento offline (por exemplo, papel), ferramentas de suporte, CRMs, plataformas de email marketing, servi\u00e7os de analytics, logs do servidor, etc. O objetivo aqui \u00e9 mapear onde os dados est\u00e3o<\/strong> e por onde passam<\/strong>.<\/p>\n\n\n\n

      Refer\u00eancia:<\/strong> GDPR Article 30<\/strong> \u2013 Records of processing activities<\/p>\n\n\n\n

      A tua empresa tem uma pol\u00edtica de privacidade publicamente acess\u00edvel que descreve os processos relacionados com dados pessoais<\/h4>\n\n\n\n

      Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      A pol\u00edtica deve cobrir (ou apontar via links) os processos de tratamento, incluindo os tipos de dados pessoais que det\u00e9ns e onde os mant\u00e9ns. Na pr\u00e1tica, isto tem de ser f\u00e1cil de encontrar no site e escrito para humanos, n\u00e3o para advogados.<\/p>\n\n\n\n

      Refer\u00eancia:<\/strong> GDPR Article 30<\/strong> \u2013 Records of processing activities<\/p>\n\n\n\n

      A pol\u00edtica de privacidade inclui uma base legal que explique porque \u00e9 que a empresa precisa de tratar dados pessoais<\/h4>\n\n\n\n

      Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

      N\u00e3o chega dizer \u201cpara melhorar a experi\u00eancia\u201d. Tens de indicar uma base legal<\/strong> para o tratamento (por exemplo, execu\u00e7\u00e3o de contrato).<\/p>\n\n\n\n

      Refer\u00eancia:<\/strong> GDPR Article 6<\/strong> \u2013 Lawfulness of processing<\/p>\n\n\n\n

      2) Accountability & gest\u00e3o (respons\u00e1veis, forma\u00e7\u00e3o, contratos e incidentes)<\/h3>\n\n\n\n

      A tua empresa nomeou um Data Protection Officer (DPO)<\/h4>\n\n\n\n

      Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      O DPO (Encarregado de Prote\u00e7\u00e3o de Dados) n\u00e3o \u00e9 obrigat\u00f3rio em todos os casos<\/strong>. S\u00f3 \u00e9 exigido em tr\u00eas cen\u00e1rios:<\/p>\n\n\n\n

        \n\n
      1. O tratamento \u00e9 feito por uma autoridade ou organismo p\u00fablico, exceto tribunais no exerc\u00edcio da fun\u00e7\u00e3o jurisdicional<\/li>\n\n\n
      2. As atividades nucleares do neg\u00f3cio exigem, pela natureza\/escala\/finalidade, monitoriza\u00e7\u00e3o regular e sistem\u00e1tica<\/strong> dos titulares em larga escala<\/strong><\/li>\n\n\n
      3. As atividades nucleares incluem tratamento em larga escala<\/strong> de categorias especiais de dados<\/strong> (dados sens\u00edveis) nos termos do Article 9<\/strong> e dados relativos a condena\u00e7\u00f5es penais\/infra\u00e7\u00f5es nos termos do Article 10<\/strong><\/li>\n\n<\/ol>\n\n\n\n

        Quando \u00e9 obrigat\u00f3rio, o DPO deve conhecer as orienta\u00e7\u00f5es do GDPR e tamb\u00e9m os processos internos que envolvem dados pessoais.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 37<\/strong> \u2013 Designation of the data protection officer<\/p>\n\n\n\n

        Existe sensibiliza\u00e7\u00e3o dos decisores sobre as orienta\u00e7\u00f5es do GDPR<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Quem decide features, integra\u00e7\u00f5es, tracking, reten\u00e7\u00e3o e tooling tem de ter conhecimento atualizado sobre prote\u00e7\u00e3o de dados \u2014 porque \u201cprivacy by design\u201d come\u00e7a antes do c\u00f3digo.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        A seguran\u00e7a t\u00e9cnica est\u00e1 atualizada<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Especialmente em empresas SaaS, faz sentido usar checklists de seguran\u00e7a como ponto de partida para garantir medidas t\u00e9cnicas adequadas.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        A equipa foi treinada para estar consciente de prote\u00e7\u00e3o de dados<\/h4>\n\n\n\n

        Aplica-se a: Data Processor<\/em><\/p>\n\n\n\n

        Uma grande fatia das vulnerabilidades envolve a colabora\u00e7\u00e3o involunt\u00e1ria de algu\u00e9m com acesso a sistemas internos. O treino tem de cobrir riscos e boas pr\u00e1ticas (phishing, acessos, partilhas indevidas, etc.).<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        Existe uma lista de sub-processors e a pol\u00edtica de privacidade menciona a utiliza\u00e7\u00e3o desses sub-processors<\/h4>\n\n\n\n

        Aplica-se a: Data Processor<\/em><\/p>\n\n\n\n

        Se recorres a subcontratantes (sub-processors) para cumprir o servi\u00e7o, os clientes t\u00eam de ser informados disso \u2014 e o consentimento deve ocorrer via aceita\u00e7\u00e3o da pol\u00edtica de privacidade.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 28<\/strong> \u2013 Processor<\/p>\n\n\n\n

        Se operas fora da UE, existe um representante na UE<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Se a empresa est\u00e1 fora da UE mas recolhe dados de cidad\u00e3os da UE, deve nomear um representante num Estado-Membro. Essa pessoa deve lidar com mat\u00e9rias relacionadas com o tratamento e servir de ponto de contacto para autoridades locais.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 27<\/strong> \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n

        As viola\u00e7\u00f5es de dados pessoais s\u00e3o reportadas \u00e0 autoridade local e aos titulares afetados<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Uma viola\u00e7\u00e3o de dados pessoais deve ser reportada em 72 horas<\/strong> \u00e0 autoridade de controlo. O reporte deve indicar que dados foram perdidos, consequ\u00eancias e contramedidas aplicadas. A menos que os dados expostos estejam cifrados\/encriptados, tamb\u00e9m deves notificar o titular (data subject) cujos dados foram comprometidos.<\/p>\n\n\n\n

        Refer\u00eancias:<\/strong> GDPR Article 33<\/strong> \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34<\/strong> \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n

        Existem contratos com todos os data processors com quem partilhas dados<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        O contrato deve ter instru\u00e7\u00f5es expl\u00edcitas sobre armazenamento\/tratamento. Deve cobrir: objeto e dura\u00e7\u00e3o do tratamento; natureza e finalidade; tipo de dados pessoais; categorias de titulares; e obriga\u00e7\u00f5es e direitos do controller.<\/p>\n\n\n\n

        Um exemplo t\u00edpico \u00e9 o contrato com o fornecedor de hosting. E os mesmos requisitos aplicam-se quando um processor envolve um sub-processor para o ajudar a cumprir atividades de tratamento em nome do controller.<\/p>\n\n\n\n

        Refer\u00eancias:<\/strong> GDPR Article 28<\/strong> \u2013 Processor; GDPR Article 29<\/strong> \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n

        3) Novos direitos (o que o utilizador consegue pedir e tu tens de conseguir executar)<\/h3>\n\n\n\n

        Os clientes conseguem pedir acesso aos seus dados pessoais de forma simples<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Precisas de um processo definido para lidar com pedidos de acesso (DSARs).<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 15<\/strong> \u2013 Right of access by the data subject<\/p>\n\n\n\n

        Os clientes conseguem atualizar os pr\u00f3prios dados para garantir exatid\u00e3o<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Deves fornecer um mecanismo para o utilizador corrigir dados incorretos.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 16<\/strong> \u2013 Right to rectification<\/p>\n\n\n\n

        Existe elimina\u00e7\u00e3o autom\u00e1tica de dados que deixaram de ser necess\u00e1rios<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        A recomenda\u00e7\u00e3o \u00e9 automatizar a elimina\u00e7\u00e3o do que j\u00e1 n\u00e3o tem utilidade. Exemplo: apagar dados de clientes cujo contrato n\u00e3o foi renovado.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 5<\/strong> \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n

        Os clientes conseguem pedir elimina\u00e7\u00e3o dos seus dados pessoais<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Implementa um processo para pedidos de elimina\u00e7\u00e3o (o conhecido \u201cdireito a ser esquecido\u201d).<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 17<\/strong> \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n

        Os clientes conseguem pedir que pares o tratamento dos seus dados<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        O utilizador tem o direito de restringir como os dados s\u00e3o tratados.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 18<\/strong> \u2013 Right to restriction of processing<\/p>\n\n\n\n

        Os clientes conseguem pedir portabilidade: entregar os dados a si pr\u00f3prios ou a um terceiro<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Portabilidade significa fornecer os dados num formato estruturado, de uso comum e leg\u00edvel por m\u00e1quina.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 20<\/strong> \u2013 Right to data portability<\/p>\n\n\n\n

        Os clientes conseguem opor-se a profiling ou decis\u00f5es automatizadas que os impactem<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        Isto s\u00f3 \u00e9 relevante se a tua empresa fizer profiling ou qualquer tipo de decis\u00e3o automatizada com impacto significativo no utilizador.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 22<\/strong> \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n

        4) Consentimento (como pedir, registar e permitir retirar)<\/h3>\n\n\n\n

        Quando o tratamento se baseia em consentimento, ele tem de ser livre, espec\u00edfico, informado e revog\u00e1vel<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        Se o teu site recolhe dados pessoais, deves ter link vis\u00edvel para a pol\u00edtica de privacidade e confirmar que o utilizador aceita termos e condi\u00e7\u00f5es. O consentimento exige a\u00e7\u00e3o afirmativa<\/strong> \u2014 por isso, checkboxes pr\u00e9-marcadas n\u00e3o s\u00e3o permitidas<\/strong>.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 7<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        A pol\u00edtica de privacidade \u00e9 escrita de forma clara e compreens\u00edvel<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        O texto tem de ser simples e claro, sem esconder inten\u00e7\u00f5es. Se falhares aqui, podes estar a invalidar o acordo. Quando prestas servi\u00e7os a crian\u00e7as, a pol\u00edtica deve ser suficientemente f\u00e1cil para elas compreenderem.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 7.2<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        Retirar consentimento tem de ser t\u00e3o f\u00e1cil como dar consentimento<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        N\u00e3o faz sentido um bot\u00e3o \u201cAceitar\u201d simples e depois um labirinto para retirar. O mecanismo de retirada tem de ser equivalente em facilidade.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 7.3<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        Se tratas dados pessoais de crian\u00e7as, verificas a idade e pedes consentimento ao representante legal<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        Para crian\u00e7as com menos de 16 anos, tens de garantir consentimento do representante legal para o tratamento. Se o consentimento \u00e9 dado via site, deves tentar garantir que a aprova\u00e7\u00e3o veio mesmo do respons\u00e1vel legal (e n\u00e3o da crian\u00e7a).<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 8<\/strong> \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n

        Quando atualizas a pol\u00edtica de privacidade, informas os clientes existentes<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        Um exemplo pr\u00e1tico \u00e9 enviar email a avisar das altera\u00e7\u00f5es. A comunica\u00e7\u00e3o deve explicar, de forma simples, o que mudou.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 7<\/strong> \u2013 Conditions for consent<\/p>\n\n\n\n

        5) Follow-up (manuten\u00e7\u00e3o cont\u00ednua)<\/h3>\n\n\n\n

        Revis\u00e3o regular de pol\u00edticas: altera\u00e7\u00f5es, efic\u00e1cia, mudan\u00e7as no tratamento e mudan\u00e7as no estado dos pa\u00edses para onde os dados fluem<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        Conformidade n\u00e3o \u00e9 \u201cfiz uma vez e fechei o ticket\u201d. Deves rever pr\u00e1ticas e acompanhar mudan\u00e7as no contexto local, no pr\u00f3prio site (novos plugins, novos providers) e no cen\u00e1rio dos pa\u00edses para onde os dados s\u00e3o transferidos.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 25<\/strong> \u2013 Data protection by design and by default<\/p>\n\n\n\n

        6) Casos especiais (DPIA e transfer\u00eancias internacionais)<\/h3>\n\n\n\n

        A empresa sabe quando deve fazer uma DPIA em tratamentos de alto risco com dados sens\u00edveis<\/h4>\n\n\n\n

        Aplica-se a: Data Controller<\/em><\/p>\n\n\n\n

        Isto aplica-se sobretudo a quem faz tratamento em larga escala, profiling e outras atividades com alto risco para os direitos e liberdades das pessoas. Nesses casos, deves realizar uma Data Protection Impact Assessment (DPIA)<\/strong>.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 35<\/strong> \u2013 Data protection impact assessment<\/p>\n\n\n\n

        Transfer\u00eancias para fora da UE s\u00f3 acontecem para pa\u00edses com prote\u00e7\u00e3o adequada \u2014 e s\u00e3o divulgadas na pol\u00edtica<\/h4>\n\n\n\n

        Aplica-se a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Ao transferir dados para fora da UE, a regra \u00e9 garantir um n\u00edvel de prote\u00e7\u00e3o adequado e divulgar esses fluxos transfronteiri\u00e7os<\/strong> na pol\u00edtica de privacidade. Quando o pa\u00eds n\u00e3o \u00e9 considerado \u201cadequado\u201d, usa Standard Contractual Clauses (SCCs)<\/strong> ou Binding Corporate Rules (BCRs)<\/strong>.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 45<\/strong> \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n

        Direitos do titular dos dados (Data Subject Rights) \u2014 o que tens de conseguir suportar<\/h2>\n\n\n\n

        Para al\u00e9m dos itens operacionais da checklist, vale a pena ter uma vis\u00e3o organizada dos direitos que se aplicam a qualquer Data Subject<\/strong>. Abaixo est\u00e1 a lista com o essencial e as refer\u00eancias por artigo.<\/p>\n\n\n\n

        Direito a informa\u00e7\u00e3o transparente<\/h3>\n\n\n\n

        O controller deve aplicar medidas adequadas para fornecer qualquer informa\u00e7\u00e3o relacionada com o tratamento de forma concisa, transparente, intelig\u00edvel e facilmente acess\u00edvel, em linguagem clara e simples \u2014 em particular quando a informa\u00e7\u00e3o \u00e9 dirigida especificamente a uma crian\u00e7a. A informa\u00e7\u00e3o deve ser fornecida por escrito ou por outros meios, incluindo eletr\u00f3nicos quando apropriado.<\/p>\n\n\n\n

        Refer\u00eancia:<\/strong> GDPR Article 12<\/strong><\/p>\n\n\n\n

        Direito a receber informa\u00e7\u00e3o espec\u00edfica quando os dados s\u00e3o recolhidos diretamente<\/h3>\n\n\n\n

        Esta informa\u00e7\u00e3o inclui:<\/p>\n\n\n\n

          \n\n
        1. A identidade e os contactos do controller<\/li>\n\n\n
        2. Os contactos do DPO (quando aplic\u00e1vel)<\/li>\n\n\n
        3. As finalidades do tratamento e a base legal<\/li>\n\n\n
        4. Os interesses leg\u00edtimos prosseguidos pelo controller (quando aplic\u00e1vel)<\/li>\n\n\n
        5. Os destinat\u00e1rios ou categorias de destinat\u00e1rios dos dados pessoais<\/li>\n\n\n
        6. Informa\u00e7\u00e3o sobre transfer\u00eancias para pa\u00edses terceiros<\/li>\n\n<\/ol>\n\n\n\n

          Refer\u00eancia:<\/strong> GDPR Article 13<\/strong><\/p>\n\n\n\n

          Direito a receber informa\u00e7\u00e3o espec\u00edfica quando os dados n\u00e3o s\u00e3o recolhidos diretamente<\/h3>\n\n\n\n

          Quando os dados s\u00e3o obtidos a partir de fontes diferentes do titular, devem ser prestadas informa\u00e7\u00f5es semelhantes, incluindo as categorias de dados pessoais em causa e a fonte de onde os dados vieram.<\/p>\n\n\n\n

          Refer\u00eancia:<\/strong> GDPR Article 14<\/strong><\/p>\n\n\n\n

          Direito de acesso<\/h3>\n\n\n\n

          O titular tem o direito de obter confirma\u00e7\u00e3o sobre se os seus dados pessoais est\u00e3o a ser tratados e acesso a:<\/p>\n\n\n\n

            \n\n
          • As finalidades do tratamento<\/li>\n\n\n
          • As categorias de dados pessoais em causa<\/li>\n\n\n
          • Os destinat\u00e1rios a quem os dados foram ou ser\u00e3o divulgados<\/li>\n\n\n
          • O per\u00edodo de reten\u00e7\u00e3o previsto<\/li>\n\n\n
          • A exist\u00eancia do direito \u00e0 retifica\u00e7\u00e3o, apagamento, limita\u00e7\u00e3o e oposi\u00e7\u00e3o<\/li>\n\n\n
          • O direito de apresentar reclama\u00e7\u00e3o a uma autoridade de controlo<\/li>\n\n\n
          • Informa\u00e7\u00e3o sobre a origem dos dados (se n\u00e3o foram recolhidos ao titular)<\/li>\n\n\n
          • A exist\u00eancia de decis\u00f5es automatizadas, incluindo profiling<\/li>\n\n<\/ul>\n\n\n\n

            Refer\u00eancia:<\/strong> GDPR Article 15<\/strong><\/p>\n\n\n\n

            Direito de retifica\u00e7\u00e3o<\/h3>\n\n\n\n

            O titular tem o direito de obter, sem demora injustificada, a retifica\u00e7\u00e3o de dados pessoais inexatos e de completar dados incompletos.<\/p>\n\n\n\n

            Refer\u00eancia:<\/strong> GDPR Article 16<\/strong><\/p>\n\n\n\n

            Direito ao apagamento (“direito a ser esquecido”)<\/h3>\n\n\n\n

            O titular tem o direito de obter o apagamento dos seus dados pessoais quando:<\/p>\n\n\n\n

              \n\n
            1. Os dados deixaram de ser necess\u00e1rios para a finalidade original<\/li>\n\n\n
            2. O titular retira o consentimento e n\u00e3o existe outro fundamento jur\u00eddico para o tratamento<\/li>\n\n\n
            3. O titular se op\u00f5e ao tratamento e n\u00e3o existem fundamentos leg\u00edtimos prevalecentes<\/li>\n\n\n
            4. Os dados foram tratados de forma il\u00edcita<\/li>\n\n\n
            5. Os dados t\u00eam de ser apagados para cumprir uma obriga\u00e7\u00e3o legal<\/li>\n\n\n
            6. Os dados foram recolhidos no contexto de servi\u00e7os da sociedade da informa\u00e7\u00e3o oferecidos a uma crian\u00e7a<\/li>\n\n<\/ol>\n\n\n\n

              Refer\u00eancia:<\/strong> GDPR Article 17<\/strong><\/p>\n\n\n\n

              Direito \u00e0 limita\u00e7\u00e3o do tratamento<\/h3>\n\n\n\n

              O titular tem o direito de obter limita\u00e7\u00e3o do tratamento quando:<\/p>\n\n\n\n

                \n\n
              1. Contesta a exatid\u00e3o dos dados (durante o per\u00edodo de verifica\u00e7\u00e3o)<\/li>\n\n\n
              2. O tratamento \u00e9 il\u00edcito e o titular se op\u00f5e ao apagamento<\/li>\n\n\n
              3. O controller j\u00e1 n\u00e3o precisa dos dados mas o titular precisa deles para efeitos de a\u00e7\u00f5es judiciais<\/li>\n\n\n
              4. O titular se op\u00f4s ao tratamento enquanto se verifica se existem fundamentos leg\u00edtimos prevalecentes<\/li>\n\n<\/ol>\n\n\n\n

                Refer\u00eancia:<\/strong> GDPR Article 18<\/strong><\/p>\n\n\n\n

                Direito a ser notificado sobre retifica\u00e7\u00e3o, apagamento ou limita\u00e7\u00e3o<\/h3>\n\n\n\n

                O controller deve comunicar qualquer retifica\u00e7\u00e3o, apagamento ou limita\u00e7\u00e3o do tratamento a cada destinat\u00e1rio a quem os dados tenham sido divulgados, exceto se tal for imposs\u00edvel ou implicar esfor\u00e7o desproporcionado.<\/p>\n\n\n\n

                Refer\u00eancia:<\/strong> GDPR Article 19<\/strong><\/p>\n\n\n\n

                Direito \u00e0 portabilidade dos dados<\/h3>\n\n\n\n

                O titular tem o direito de receber os seus dados pessoais num formato estruturado, de uso comum e leg\u00edvel por m\u00e1quina, e o direito de transmitir esses dados a outro controller sem impedimentos.<\/p>\n\n\n\n

                Refer\u00eancia:<\/strong> GDPR Article 20<\/strong><\/p>\n\n\n\n

                Direito de oposi\u00e7\u00e3o<\/h3>\n\n\n\n

                O titular tem o direito de se opor, por motivos relacionados com a sua situa\u00e7\u00e3o particular e a qualquer momento, ao tratamento baseado em interesses leg\u00edtimos ou interesse p\u00fablico, incluindo profiling.<\/p>\n\n\n\n

                Refer\u00eancia:<\/strong> GDPR Article 21<\/strong><\/p>\n\n\n\n

                Direito a n\u00e3o ficar sujeito a decis\u00f5es automatizadas<\/h3>\n\n\n\n

                O titular tem o direito de n\u00e3o ficar sujeito a uma decis\u00e3o baseada exclusivamente em tratamento automatizado, incluindo profiling, que produza efeitos jur\u00eddicos ou o afete de forma significativamente semelhante.<\/p>\n\n\n\n

                Refer\u00eancia:<\/strong> GDPR Article 22<\/strong><\/p>\n\n\n\n

                Passos pr\u00e1ticos de implementa\u00e7\u00e3o (o que fazer no site, na pr\u00e1tica)<\/h2>\n\n\n\n

                1) Proteger o site (seguran\u00e7a e minimiza\u00e7\u00e3o)<\/h3>\n\n\n\n