FAQ´s - RGPD
De uma forma geral defendemos sempre, que as avaliações não devem incidir sobre os colaboradores individualmente.
Não obstante, temos alguns estudos ativos em que os colaboradores são identificados pelo nome. Adicionalmente, o mais frequente, casos em que o colaborador não está identificado pelo nome mas é possível chegar à informação, ou porque estava apenas um colaborador naquele posto de trabalho ou através dos comprovativos das visitas (faturas, cartões de visita, documentação recebida por e-mail).
Destes relatórios de visita constam informações como:
– Nome do colaborador
– Morada profissional
– Avaliação do atendimento: Que poderá ir desde questões relacionadas com a simpatia/amabilidade/apresentação pessoal até o nível de conhecimentos técnicos que o colaborador possui no desempenho do seu trabalho, a sua capacidade comercial, nível de atenção ao cliente, etc.
– Nalguns casos, informações adicionais de contacto (e-mail, telefone e telemóvel).
As normas da ESOMAR são muito claras: não devem ser fornecidos resultados ao cliente que permitam identificar (ainda que seja “possível chegar à informação”) individualmente uma pessoa, excepto se se possuir o consentimento da pessoa em causa. Além disso, um “Mystery Shopping” (Cliente Mistério) apenas pode ter como finalidade a pesquisa do mercado, nunca a de avaliar o desempenho de trabalhadores concretos. Ou seja, pode ser realizado um “Mystery” para avaliar os procesos de trabalho da empresa cliente, para identificar melhorias ou adequar a formação; mas sempre com resultados globais e não individuais.
Há empresas que acreditam que as entidades empregadoras têm legitimidade, sempre, para o tratamento dos dados relativos ao desempenho dos seus colaboradores. Esta legitimidade não requer, sequer, que haja notificação prévia obrigatória aos visados (apesar de esta ser aconselhada), muito menos requer consentimento dos colaboradores.
- As entidades empregadoras podem ter legitimidade para o tratamento dos dados dos seus colaboradores, mas “avaliar o desempenho dos seus colaboradores” não é um “Mystery Shopping” e não é pesquisa de mercado, uma vez que se destina a avaliar pessoas concretas e não um “mercado” geral. A empresa pode decidir comercializar um serviço de avaliação do desempenho dos seus colaboradores, mas esse serviço não pode ser classificado como pesquisa de mercado. Nesse caso, a empresa deverá celebrar um contrato de “data processor” (tratamento de dados) com o cliente, o qual deverá especificar que:
- O cliente é responsável por deter a legitimidade de tratar os dados dos seus colaboradores com a finalidade de avaliar o seu desempenho e,
- A finalidade do tratamento encomendado pelo cliente à empresa consiste em avaliar os colaboradores e não a pesquisa do mercado.
Coloca-se a questão de como será garantido o direito à consulta e retificação dos seus dados pessoais. Não tanto no âmbito da avaliação em si, mas historicamente. Nós por exemplo, temos o histórico de todos os estudos que já efetuámos. Podemos assumir, como certo, que muitos dos indivíduos destas bases de dados já não trabalham naquelas empresas.
Como será garantido o direito à consulta e retificação dos seus dados pessoais? O cliente deve dar instruções para tal, normalmente deverá fornecer um endereço postal ou eletrónico para os direitos. A empresa contratada informará os colaboradores sobre esse endereço. Se um indivíduo quiser consultar ou retificar os seus dados, deverá ser comunicado ao cliente para que este diga o que devemos fazer.
“Nós na nossa empresa, por exemplo, temos o histórico de todos os estudos que já efetuámos”. Porque conservamos na empresa dados pessoais históricos? O GDPR proibe conservar dados pessoais durante mais tempo do que o necessário para a finalidade em causa. Se os dados pessoais já não forem necessários devem ser eliminados com a maior brevidade possível. Para além de que, se “muitos dos indivíduos destas bases de dados já não trabalham naquelas empresas”, com mais razão devem ser apagados.
Há contudo interpretações, de que não podemos tratar os dados pessoais dos colaboradores, ao nível que tratamos, sem o consentimento prévio. A informação que recolhemos é muito sensível e temos muitos estudos que nos permitem acompanhar, por exemplo, se o Sr. João da Silva tem ido trabalhar com uma aparência pessoal cuidada ao longo dos últimos 5 anos.
Estamos a efetuar o tratamento de dados pessoais por solicitação de um cliente, pelo que o consentimento (ou outra base legal para o tratamento dos dados) deve ser obtido pelo cliente. O cliente deve confirmar à empresa contratada que possui o consentimento dos colaboradores.
“se o Sr. João da Silva tem ido trabalhar com uma aparência pessoal cuidada ao longo dos últimos 5 anos”: é isto que implica que não se trata de um “Mystery Shopping” ou de uma pesquisa de mercado, porque estamos a analisar uma pessoa individual.
De ressaltar, que esta informação recolhida (embora o nível de acesso varie muito de cliente para cliente) poderá estar disponível a vários indivíduos na hierarquia do cliente e, em muitos casos, disponível a dezenas de indivíduos da empresa – chefias e colegas.
Os dados pessoais foram entregues pelo cliente, por isso cabe a este decidir o que irá fazer com esses dados. É da responsabilidade do cliente divulgar os dados pessoais, ou não, consoante a legitimidade que possua.
O consentimento, se necessário, é responsabilidade do cliente. Mas é expectável que os clientes queiram saber como devem proceder, quer nos estudos em vigor, quer em estudos novos. Uma empresa de Cliente Mistério com uma interpretação mais restritiva poderá estar em desvantagem se houver concorrentes com uma interpretação mais favorável / “ligeira” da lei.
- Não deve ser aceitável que um cliente apresente o argumento das empresas de Cliente Mistério que possuem uma interpretação mais favorável / “ligeira” da lei. Por 2 motivos:
- Não há interpretações “mais ligeiras”, há quem cumpre o GDPR e quem não o cumpre, arriscando sanções de 20 milhões de euros. Um incumprimento por parte do cliente pode implicar que a empresa contratada seja considerada corresponsável e receba igualmente uma sanção. Mas também um incumprimento por parte da empresa contratada (ou dessa empresa de Cliente Mistério mais “ligeira”) pode resultar numa sanção grave para o cliente. O cliente quer arriscar-se a isto por um fornecedor de Cliente Misterio mais “flexível”?
- Uma empresa de Cliente Mistério que aceite analisar e reportar os resultados individuais de um colaborador para avaliar o seu trabalho, não é Cliente Mistério nem pesquisa de mercado, é pura intrusão. É aquilo que os ingleses designam por “Sugging” (prática de venda de produtos sob o pretexto falso de pesquisa de mercado) (ver: https://www.mrs.org.uk/standards/suggingfaq).
-Qualquer cliente que envie bases de dados que inquirir os seus clientes sobre a satisfação destes, tem que garantir que está a enviar dados de clientes que deram o seu consentimento expresso para a partilha de dados com outras entidades/fornecedores, com a finalidade de inquirir a satisfação correto ?
No nosso entender, o nosso cliente deve garantir que apenas nos envia dados de clientes que previamente deram autorização/consentiram a partilha de dados com “fornecedores” ou empresas parceiras, para aferir a satisfação dos clientes, mas queremos confirmar antes de dar reposta ao nosso cliente.
Incorreto. Não é necessário pedir autorização para comunicar dados pessoais a um subcontratante (encarregue do tratamento) uma vez que este subcontratante apenas utilizará os dados em conformidade com as instruções e a finalidade indicada pelo cliente.
Caso seja necessário, pedir autorização para comunicar os dados pessoais a um terceiro que vá utilizar os dados pessoais de acordo com as suas instruções e para as suas próprias finalidades.
– Como nos podemos salvaguardar neste caso? O nosso cliente deve assinar um acordo em como se compromete que apenas nos envia dados de clientes que deram o consentimento expresso para serem contactados?
Não, no caso de uma subcontratação, deverá ser celebrado com o cliente um contrato de execução do tratamento em conformidade com o artº 28 do RGPD.
Também não é necessário que exista sempre um consentimento expresso para ser contactado para pesquisa do mercado. O cliente pode utilizar o interesse legítimo para inquirir junto dos seus consumidores o seu nível de satisfação (por exemplo), caso em que não é preciso o consentimento. Sempre que o motivo do estudo esteja diretamente relacionado com os produtos ou serviços próprios do cliente, poderá utilizar o interesse legítimo.
O que, efetivamente, o cliente deve possuir é o consentimento para deter os dados pessoais, mesmo que não os utilize para a realização de um estudo.
– Do nosso lado, temos que dar também o nosso compromisso ao cliente, indicando que apenas vamos “usar” os dados que nos foram transmitidos no âmbito do estudo, correto? Isto também se aplica a outros estudos (cliente mistério, por exemplo) em que obtemos informações sobre funcionários – nomes, descrições físicas, etc. Ou seja, será um acordo mutuo e que tem que ser assinado por ambas as partes (pela nossa empresa e pela empresa que está a contratar os nossos serviço) – isto será uma salvaguarda para ambas as partes e é válido caso haja algum incumprimento e no caso de ser feita uma queixa na CNPD?
No acordo celebrado com o cliente poderá ser definido se a utilização dos dados se destina a um único estudo ou a vários, mas sempre do mesmo cliente. A empresa de pesquisa compromete-se com o cliente a utilizar os dados apenas de acordo com instruções e finalidades acordadas com o mesmo e não para finalidades próprias da empresa de pesquisa ou de outros clientes desta.
– Para realizar estudos cujo alvo seja a população em geral podemos gerar números aleatoriamente (através de algoritmo simples de junção de algarismos aleatórios) e constituir uma base para inquirição? Que constrangimentos existem ou que cuidados devo ter?
Compreendo que se trata de estudos CATI e que a intenção é gerar aleatoriamente números de telefone. Quando possuímos um número de telefone, isso constitui um dado pessoal (exceto se for um número não existente) uma vez que está associado a um titular de uma linha telefónica. Neste caso, ao contactar os entrevistados deverá ser solicitado o seu consentimento e fornecer informação sobre o artº 14 do RGPD:
- a) A identidade e os contactos do responsável pelo tratamento;
Nome e dados de contacto da empresa de pesquisa
- b) Os contactos do encarregado da proteção de dados, se for caso disso;
Caso a empresa de pesquisa a tenha designado, uma forma de contacto (não é necessário o nome, basta um email ou endereço postal).
- c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
Finalidade: pesquisa de mercado. Se tiver como intenção a inclusão num painel (ou base de dados para uso futuro), informar também o entrevistado.
Fundamento jurídico: consentimento do interessado
- d) As categorias dos dados pessoais em questão;
Categorias: dados de identificação, dados de contacto (telefone)
- e) Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;
Se os dados vão ser cedidos, indicar a quem. Se não houver cedência dos dados indicar que não serão cedidos a terceiros. Isto não inclui o caso em que seja subcontratado algum serviço (por exemplo, um CATI externo).
- f) Se for caso disso, o facto de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências mencionadas nos artigos 46.o ou 47.o, ou no artigo 49.o, n.o 1, segundo parágrafo, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas;
Se houver intenção de transferir os dados para fora da União Europeia (ou Espaço Económico Europeu), indicar para que país e se o mesmo é considerado adequado pela Comissão Europeia (a lista de países está disponível na página web da Comisão Europeia).
Além disso, deverá informar-se o entrevistado que pode ampliar a informação seguinte (por exemplo, indicando uma página web):
- g) Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para fixar esse prazo;
Indicar durante quanto tempo serão conservados os dados pessoais. Se a intenção for utilizar os dados apenas para um estudo, por exemplo: “os seus dados pessoais serão mantidos enquanto decorrer o inquérito e respetivo controlo de qualidade. Posteriormente serão apagados”. Se a intenção for a criação de uma base de dados (ou painel) para usar em estudos futuros “os seus dados pessoais serão mantidos durante XXX anos/meses (a decidir) e posteriormente serão apagados ou até que o (a) senhor(a) nos solicite a eliminação dos seus dados”
- h) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alínea f), os interesses legítimos do responsável pelo tratamento ou de um terceiro; Isto não se aplica (omitir isto)
1. i) A existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a retificação ou o apagamento, ou a limitação do tratamentor no que disser respeito ao titular dos dados, e do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
Informar onde (endereço postal ou email) os entrevistados poderão exercer os seus direitos.
- j) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alínea a), ou no artigo 9.o, n.o 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
Informar o entrevistado que tem o direito de retirar o seu consentimento em qualquer momento.
- k) O direito de apresentar reclamação a uma autoridade de controlo;
Informar o entrevistado que tem o direito de apresentar uma reclamação junto da CNPD.
- l) A origem dos dados pessoais e, eventualmente, se provêm de fontes acessíveis ao público;
Informar que o número de telefone foi gerado aleatoriamente.
- m) A existência de decisões automatizadas, incluindo a definição de perfis referida no artigo 22.o, n.os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
Isto não se aplicaria se não se realizarem “decisões automatizadas”, que não é normal na pesquisa de mercado.
Solicitar ao entrevistado o seu consentimento para o tratamento dos respetivos dados conforme a informação anterior. Esse consentimento deve ficar registado. Por exemplo, no próprio questionário, adicionar como pergunta, devendo ficar assinalada a resposta.
É bastante recomendável, se não houver intenção de construir um painel, apagar os dados de identificação (nome, morada, telefone) do entrevistado uma vez terminado o trabalho de campo e respetivo controlo de qualidade, mantendo apenas as respostas com dados sócio-demográficos de classificação como dados anónimos. Se se eliminarem os dados de identificação do entrevistado também se pode apagar o consentimento registado.
Ver mais cuidados na resposta seguinte.
– Se no primeiro contacto que efetue para um determinado registo da base anterior (após 25/5), lhe pedir o consentimento para realizar inquéritos, posso constituir uma base separada de contactos para inquirição? (sendo esta depois gerida de acordo com os princípios que o RGPD determina, obviamente). Que constrangimentos existem ou que cuidados devo ter?
Em primeiro lugar, não recomendo que se espere pelos contactos a realizar a partir do dia 25 de maio. É preferível começar com a maior brevidade possível.
Neste caso, entendo que a intenção é criar um painel. De novo, será necessário solicitar (e conservar provas) do consentimento. Como a intenção é conservar o telefone (e outros dados de identificação) durante mais tempo, manter um registo desse consentimento num lugar separado. Esse registo deverá indicar que o consentimento foi obtido por telefone, com data e hora.
Deve dar-se a informação indicada acima: pontos a) a m) adequados à situação de painel ou base de dados. Esta informação só tem de ser fornecida na primeira vez que se contactar o entrevistado e se tiver obtido o seu consentimento, mas deve estar disponível num lugar de fácil acesso (por exemplo, política de privacidade na web ou no portal do painelista).
Outros cuidados:
– Manter apenas os dados pessoais necessários (minimização)
– Conservar os dados pessoais de forma segura, evitando o seu acesso por parte de pessoas não autorizadas.
– Se uma pessoa não der o seu consentiiento ou o retirar posteriormente, certificar-se que os seus dados pessoais são eliminados. Poderão manter-se as respostas obtidas em estudos mas sem identificar a pessoa ou o respetivo número de telefone.
– Se alguém solicitar que não volte a ser contactado, informar que isso implica o seu consentimento para ser incluído numa ”black list” (lista negra). A partir desse momento, sempre que sejam gerados números aleatórios, certificar-se que nenhum telefone coincide com a “black list”.
– Ter a possibilidade (rever a configuração do software utilizado) de respeitar o direito das pessoas de aceder aos dados pessoais que se conservam sobre elas. Se as respostas estão associadas aos dados pessoais, também é necessário facultar o acesso às suas respostas. Por isso, é recomendável nunca manter as respostas associadas aos dados pessoais ou durante o tempo mínimo necessário.
– Identificar outras medidas técnicas e organizativas para garantir a segurança dos dados pessoais. Caso sejam transmitidos dados pessoais por meios eletrónicos, utilizar sistemas de proteção que evitem acessos não autorizados (por exemplo, encriptação de dados).
– Em ambas as situações é necessário efetuar algum processo com a CNPD ou apenas temos de, como o regulamento estipula, ter o processo documentado e “demonstrável” em casos de auditoria?
Já não é necessário comunicar nada à CNPD. Deve ser conservado um registo das actividade de cada tratamento conforme estabelecido no artº 30 do RGPD. Recomendo o agrupamento dos tratamentos similares, para não fazer um registo para cada estudo:
– Estudos ad hoc
– Estudos com painel ou base de dados
– Estudos com base de dados fornecida pelo cliente (não misturar estes dados pessoais com os próprios).
Esse registo deverá estar atualizado e mantido à disposição da CNPD. Em muitos casos, há clientes que precisam que esse registo se encontre também à sua disposição (nos casos em que seja utilizada uma base de dados do cliente).
Gostaria de saber se a Apodemo tem conhecimento de algum profissional da nossa área com conhecimento do novo Regulamento de Proteção de Dados e que se esteja a disponibilizar para ser DPO de empresas do setor.
Penso que este será um problema que vai surgir com outras empresas de tamanho médio/pequeno – não tendo advogado a tempo inteiro e precisando de selecionar uma pessoa que conheça a lei e não tenha interesse direto no processamento de dados pessoais, ficam poucas hipóteses.
Alternativamente, o que sugere num contexto de uma empresa com cerca de 20 pessoas, sendo que quase todas estão alocadas a projetos nas suas diferentes fases?
Em resposta à pergunta, a primeira questão que se deverá colocar é se é necessário designar um DPO. Segundo o artº 37 do RGPD, é obrigatório quando
Na minha opinião, uma empresa de pesquisa de mercado não realiza um “controlo regular e sistemático dos titulares dos dados em grande escala”. É certo que se podem realizar muitos inquéritos, mas não às mesma pessoas. Por outro lado, a pesquisa de mercado baseia-se na concepção da amostragem. No meu entender, uma amostra é um conceito oposto à “grande escala”. Para além de que a pesquisa não visa controlar pessoas concretas, mas sim obter respostas de pessoas. O que é importante são as respostas, a identificação das pessoas é acessória e apenas serve para as contactar.
Se mesmo assim for decidido designar um DPO, não é necessário que essa pessoa não possua interesses diretos no tratamento de dados. O que é exigido pelo RGPD é que as outras funções dessa pessoa “não resultem num conflito de intereses” e devem “estar em condições de desempenhar as suas funções e atribuições com independência”. Ou seja, o DPO deve ser independente ao realizar as suas funções de DPO (artº. 39º do RGPD): emitir opiniões, informar sobre incumprimentos, aconselhar e servir de contacto com a autoridade de controlo. Por outras palavras, deve ser independente na sua capacidade de controlo, gestão e decisão; mas não significa que deva ser independente do tratamento de dados.
Quando utilizamos questionários em papel para fazer entrevistas pessoais, preenchemos com cada questionário uma folha de inspeção, que guardamos durante 1 ano para efeitos de controlo de qualidade.
Com o novo RGPD, o que devemos acrescentar ao formulário ?
O associado deve incluir 2 coisas:
- O consentimento explícito para o tratamento de dados com a finalidade de proceder à pesquisa de mercado. Uma pergunta do tipo “Aceita que <NOME DA EMPRESA> trate os seus dados com o objetivo de pesquisa de mercado?” Deverá ser facultada a opção de responder “sim” ou “não” e marcar no questionário qual foi a resposta do entrevistado. Se a resposta for “não”, os dados pessoais deverão ser apagados, se bem que as respostas anónimas do questionário possam ser utilizadas. Se a resposta for “sim” deverá ser assinalada.
2 Fornecer a informação do artº. 13 do RGPD. É esta a tabela que usamos nas sessões de formação:
“Os interesses legítimos próprios ou de um terceiro” não se aplica uma vez que se solicita o consentimento. ”Se a comunicação for um requisito legal ou contratual…” também não se aplica, pois não é o caso. O associado tem de decidir:
– Comunicação a terceiros: se vai entregar os dados pessoais a alguém ou não.
– Transferência internacional: se vai colocar os dados fora da União Europeia
– Prazo de conservação: durante quanto tempo vão ser guardados os dados pessoais (não as respostas). Por exemplo: 3 meses após a finalização do trabalho de campo.
A minha recomendação para este associado é que separe noutra página do questionário os dados de identificação do entrevistado:
Essa página será utilizada para realizar a inspeção e, uma vez concluída, poderá ser eliminada. Deste modo é cumprido o requisito do RGPD de proceder à eliminação dos dados pessoais quando já não sejam necessários e, simultaneamente, podendo guardar a inspeção durante 1 ano. Na folha de inspeção apenas se poderá saber que o Questionário Nº XXX do Entrevistador Nº YYY foi inspecionado.
1- O nosso departamento comercial tem uma base de dados de clientes e potenciais clientes, dos quais detemos os contactos das empresas (nome, emails e contactos telefónicos). Quais as medidas a implementar neste tipo de vendas, principalmente no que diz respeito aos potenciais clientes, de modo a estarmos de acordo ao RGPD?
Respecto a los datos personales de la base de datos de clientes, conforme al RGPD, el tratamiento es lícito conforme al art. 6.1.b del RGPD “O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados” cuando el tratamiento sea con la finalidad de la gestión del servicio contratado por el cliente. También sería un tratamiento lícito conforme al art. 6.1.f “O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. Existe el interés legítimo de ofrecer a los clientes otros servicios de investigación de mercado. A estos clientes se les debe informar de lo indicado en el art. 13 del RGPD, por ejemplo mediante un link a una Política de Privacidad. Además, habrá que aplicar todas las medidas de seguridad del RGPD (medias técnicas y organizativas) de la Secção 2 del CAPÍTULO IV del RGPD.
Respecto a clientes potenciales, aqui la legitimidad ya no es conforme al art. 6.1.b. Para poder tener y usar los datos personales debe demostrarse que hay un interés legítimo conforme al art. 6.1.f u obtener el consentimiento de las personas conforme al art. 6.1.a y al art. 7. Si no se puede evidenciar el interés legítimo o no se obtiene el consentimiento, deben borrarse los datos personales (sólo se pueden conservar los datos de las empresas). Además, se les debe dar la información conforme a los arts. 12 o 13, según corresponda; por ejemplo mediante un link a una Política de Privacidad. Además, habrá que aplicar todas las medidas de seguridad del RGPD (medias técnicas y organizativas) de la Secção 2 del CAPÍTULO IV del RGPD.
2- Avaliações cliente mistério – LEADS ONLINE/TELEFONE – O que fazer com os endereços de emails/telefones dos colaboradores que aparecem nestas avaliações? Se não obtivermos o consentimento expresso dos colaboradores para os dados deles constarem nos relatórios as visitas, temos de apagar estes dados dos prints/PDFs correto?
Es correcto, debe tenerse el consentimiento para tener los datos de los colaboradores. Por lo tanto, si no se tiene el consentimiento, no sólo hay que borrarlos, sino que ni siquiera hay que recogerlos. Sin embargo, si los datos de los colaboradores han sido entregados por el cliente que encargó el estudio de cliente mistério, es responsabilidad del cliente tener el consentimiento.La empresa de investigación, en este caso, no necesita obtener un nuevo consentimiento (siempre que los datos personales se borren según las instrucciones del cliente).
3- É necessário enviarmos alguma “carta”/ acordo aos nossos fornecedores, de modo a indicarem que nas relações que mantém connosco é cumprido o RGPD? Com fornecedores digo por exemplo: empresas que nos fornecem bens ou serviços, por exemplo, café, compras, material de escritório, empresas parceiras (de marketing e publicidade, advogados, etc).
Depende del servicio prestado por el proveedor:
Si al proveedor no le encargamos que trate datos personales, sólo hay que informarle de lo indicado en el art. 12 del RGPD. Pero no es necesario obtener su consentimiento, ya que la licitud del tratamiento se deriva del art. 6.1.b. Esto puede hacerse mediante esa “carta”. Ejemplos: empresas que fornecem bens ou serviços, por exemplo, café, compras, material de escritório.
– Si al proveedor sí le encargamos que trate datos personales (por ejemplo: red de campo, proveedor de CATI, abogados, gestión de RRHH propios, etc.), además de informarle de lo indicado en el punto anteriopr, hay que firmar un contrato de “subcontratante” conforme al art. 28 del RGPD.
1ª pergunta – SAC – Prazo de conservação dos dados pessoais – os critérios usados para fixar esse prazo, – variam de empresa para empresa, não é estipulado por nós mas sim pelos nossos associados. Deve a Apodemo sugerir uma baliza?
Creo que sí deberíais establecer un plazo para todos los asociados (acordadlo con ellos). Para establecer ese plazo, hay que tener en cuenta la finalidad del SAC. Hasta cuándo necesitamos saber si una persona ha participado anteriormente en un estudio? El RGPD indica claramente que los datos deben ser borrados cuando ya no son necesarios. Y se trata de una necesidad demostrable, no una mera “conveniencia”. Además, he visto que en el contrato con Gsystem (Cláusula Segunda) se dice que los datos personales a incluir en el SAC son:- Nome- Sector de actividade (del participante? del estudio?)- Número de contribuinte- Contacto (del participante?)- Outras informações a serem definidas (cuáles son? Hay que definir exactamente qué tipo de datos se tiene de los participantes) Recordarás de las sesiones de formación que uno de los principios del RGPD es l“minimización de datos”. Esto implica que sólo se deben tratar losdatos que son realmente necesarios para la finalidad de control de repetición de participantes. Entonces, habría que preguntarse: el contacto del participante es necesario para esta finalidad? Y esas “Outras informações”? Si la respuesta es no, habría que eliminar esos datos. Por ejemplo, en España se analizó este caso y la conclusión fue que sólo elnúmero de contribuinte (en España: Documento Nacional de Identidad) erasuficiente, y es el único dato que tiene el SAC español.
2ª pergunta – SAC – “Las empresas deben solicitar el consentimiento explícito de los participantes en estudios cualitativos para comunicar sus datos a Apodemo” – A Apodemo não tem, mas pode, ter acesso à informação sobre os participantes nos estudos qualitativos. Devem os associados informar os participantes que os seus dados podem ser acedidos pela Apodemo ou pela Gsystem, ou ainda pelas duas entidades?
Los asociados deben informar a los participantes que sus datos podem ser cedidos a Apodemo y a todos los asociados de Apodemo, ya que todos los asociados pueden ver todos los datos personales. No es necesario que se informe del nombre de cada asociado, es suficiente indicar que la lista actualizada de asociados de Apodemo está disponible en la web de Apodemo
No es necesario informar sobre Gsystem porque los datos personales no son cedidos a Gsystem. Gsystem realiza una subcontratación de trabajo que requiere tratar los datos personales, pero sólo con la finalidad y los limites indicados por Apodemo y sus asociados.También sería necesario realizar un acuerdo (y documentarlo) conforme establece el art. 26 del RGPD: Artigo 26 Responsáveis conjuntos pelo tratamento 1.Os Estados-Membros preveem que, quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo tratamento. Ambos determinam as respetivas responsabilidades por acordo entre si e de modo transparente, a fim de garantir o cumprimento da presente diretiva, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados, e os respetivos deveres de fornecer as informações referidas no artigo 13.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que estejam sujeitos. Desse acordo deve constar o ponto de contacto dos titulares dos dados. Os Estados-Membros podem determinar qual dos dois responsáveisconjuntos fica habilitado a agir como o ponto de contacto único para que os titulares dos dados exerçam os seus direitos. 2.Independentemente do acordo a que se refere o n.o 1, os Estados-Membros podem prever que o titular dos dados exerça, em relação a cada um dos responsáveis pelo tratamento de dados, os direitos que lhe conferem as disposições adotadas por força da presente diretiva. No es necesario que sea un contrato, podría ser unas “normas de uso del SAC” que los asociados deban aceptar al acceder a la aplicación SAC.
3ª pergunta – Os Associados devem dizer aos participantes que os seus dados podem ser cedidos à Apodemo e que os associados da Apodemo ao utilizarem o SAC fazem cruzamento de dados. Ou devem dizer outra coisa?
Si todos los asociados pueden acceder (aunque sólo sea) al nº contribuinte de un participante, eso ya es un acceso a un dato personal, por lo que hay que informar a los participantes que sus datos serán comunicados a todos los asociados de Apodemo. Por ello, los asociados deben informar a los participantes que “os seus dados podem ser cedidos à Apodemo e os associados
da Apodemo ao utilizarem o SAC, para la finalidad de cruzamento de dados”.
Sobre o contrato de prestação de assistência técnica e manutenção entre a Gsystem e a Apodemo
1ª pergunta: A Apodemo tem /deve eleger um responsável /interlocutor com a Gsystem?
Para protección de datos no es necesario elegir un interlocutor. Si se debe incluir en el contrato una dirección de contacto (esto ya está en el contrato que está firmado).
2ª pergunta: A Gsystem usa um hosting português deve essa informação constar no contrato?
En el contrato específico sobre protección de datos se debe incluir si Gsystem exporta los datos fuera de la Unión Europea. Si, como dices, están en un hosting en Portugal, sería muy conveniente indicarlo en el contrato e incluso la prohibición de que los datos del SAC salgan fuera de la Unión Europea.