Glossário

Avaliação de Impacto na Protecção de Dados (AIPD) ou Data Protection Impact Assessment (DPIA em inglês). É uma análise sistemática de como uma atividade de tratamento de dados pode afetar os direitos e liberdades dos indivíduos. Obrigatória quando o tratamento apresenta risco elevado para os direitos dos titulares.

Regulamento Europeu sobre Inteligência Artificial que estabelece requisitos de conformidade para sistemas de IA comercializados na UE. Define categorias de risco (proibido, alto, moderado, mínimo) e cria obrigações para fornecedores e utilizadores de sistemas de IA.

Autoridade pública independente responsável por monitorizar e fazer cumprir a regulação em protecção de dados. Em Portugal, a Comissão Nacional de Protecção de Dados (CNPD). Pode investigar reclamações, instaurar processos sancionatórios e emitir orientações de conformidade.

Direito do titular de dados a confirmar se uma organização processa seus dados pessoais e, em caso afirmativo, a aceder a cópia dos dados, informações sobre o tratamento e fins. Deve ser respondido num prazo de 30 dias.

Mecanismo interno de uma organização para reportar violações de protecção de dados, segurança ou conformidade. Deve garantir anonimato e protecção contra represálias. Obrigatório em organizações de maior dimensão ou em setores regulados.

Chief Information Security Officer (Responsável pela Segurança da Informação). Profissional responsável por estratégia e gestão de segurança da informação numa organização. Diferencia-se do EPD mas complementa-se na gestão de riscos relativos a protecção de dados.

Comissão Nacional de Protecção de Dados. Autoridade de Controlo Independente de Portugal responsável por supervisionar cumprimento do RGPD e Lei 58/2019. Pode investigar reclamações, fazer inspeções e aplicar coimas.

Profissional responsável por garantir que uma organização cumpre as obrigações legais e regulatórias. Pode sobrepor-se ou complementar a função de EPD, dependendo do escopo da organização.

Manifestação de vontade livre, informada e inequívoca do titular para permitir tratamento de seus dados pessoais. Deve ser expresso, granular (por cada fim) e retirável a qualquer momento. Não se aplica a todos os tratamentos (ex: obrigações legais).

Qualquer informação relativa a uma pessoa singular identificada ou identificável. Inclui nome, número de identificação, dados de localização, dados online (como cookies), etc. O conceito é amplo e inclui indícios que, combinados, permitem identificar uma pessoa.

Categorias especiais de dados pessoais que merecem proteção reforçada: origem racial/étnica, opiniões políticas, convicções religiosas, dados genéticos, dados biométricos, dados de saúde, dados relativos à orientação sexual. Tratamento geralmente proibido, com exceções legais.

Proposta de regulamento europeu que estabelece direitos e obrigações relativos ao acesso e reutilização de dados. Complementa RGPD ao focar na governança de dados, interoperabilidade e direitos de acesso a dados gerados por máquinas ou sensores.

Direito do titular a solicitar eliminação dos seus dados quando já não são necessários para os fins, ou quando o titular retira consentimento. Conhecido como "direito ao esquecimento". Organizações devem apagar dados num prazo razoável, com exceções (obrigações legais, histórico).

Regulamento sobre Identificação Electrónica, Autenticação e Serviços de Confiança na UE. Estabelece requisitos para firma digital, autenticação eletrónica e assinatura digital. Complementa RGPD em contexto de transações eletrónicas.

Data Protection Officer em inglês. Profissional designado por uma organização para monitorizar e assegurar conformidade com RGPD e Lei 58/2019. Funções incluem: consultoria interna, monitorização de atividades de tratamento, investigação de reclamações de titulares, contacto com autoridades de controlo.

Diretiva Europeia 2002/58/CE (e posteriores alterações) que regulamenta privacidade em comunicações eletrónicas. Cobre cookies, email marketing, comunicações telefónicas. Complementa RGPD com disposições específicas para setor de comunicações eletrónicas.

Evento que compromete confidencialidade, integridade ou disponibilidade dos dados pessoais, como acesso não autorizado, destruição acidental ou perda. Quando atinge direitos/liberdades dos titulares, constitui "violação de dados pessoais" com obrigações de notificação.

Lei Geral de Protecção de Dados em Portugal. Transpõe RGPD para direito português e acrescenta disposições nacionais sobre proteção de dados. Aplicável a tratamentos realizados em Portugal e por organizações portuguesas.

Diretiva (UE) 2022/2555 sobre Segurança das Redes e da Informação. Reforça requisitos de segurança da informação para operadores de serviços essenciais e fornecedores de cibersegurança. Obriga a governança de riscos de cibersegurança, notificação de incidentes, auditorias.

Obrigação de comunicar à autoridade de controlo (CNPD em Portugal) uma violação de dados pessoais num prazo de 72 horas após detecção. Se risco elevado, deve-se notificar também os titulares de dados afetados sem demora indevida.

Pessoa singular ou coletiva, autoridade pública, agência ou outro órgão que determina fins e meios do tratamento de dados pessoais. É responsável por conformidade com RGPD e deve cumprir princípios de legalidade, transparência e responsabilidade.

Regulamento Geral de Protecção de Confidencialidade. Anteriormente conhecido como RGPD em contexto nacional português, agora referenciado como Lei 58/2019. Estabelece direitos de privacidade e confidencialidade em Portugal.

Regulamento (UE) 2016/679 - Regulamento Geral de Protecção de Dados. Principal legislação da UE que regulamenta tratamento de dados pessoais. Aplicável a todas as organizações que tratam dados de residentes da UE, independentemente da sua localização.

Direito do titular a solicitar correção de dados pessoais imprecisos ou incompletos que a organização detém. Deve ser respondido sem demora indevida. Organizações devem informar sobre rectificação a terceiros para quem foram comunicados os dados.

Pessoa singular ou coletiva, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do responsável pelo tratamento. Pode ser fornecedor de serviços de TI, prestador de serviços logísticos, etc. Deve estar vinculado por contrato de processamento de dados.

Direito do titular a opor-se ao tratamento dos seus dados pessoais para fins de marketing direto, perfilagem ou em contexto de interesses legítimos conflituantes. A organização deve cessar tratamento a menos que tenha motivos legítimos imperadores.

Pessoa singular cujos dados pessoais são tratados. É o sujeito dos direitos em matéria de proteção de dados. Pode exercer direitos de acesso, rectificação, apagamento, portabilidade, oposição sobre seus dados.

Comunicação, cópia ou deslocação de dados pessoais para um país fora da UE/EEE. Sujeita a restrições do RGPD (Art. 44-50). Requer bases legais como decisão de adequação, cláusulas contratuais-tipo, ou vinculação corporativa internacional.

Qualquer operação efetuada sobre dados pessoais: recolha, registo, organização, estruturação, armazenagem, adaptação, alteração, recuperação, consulta, utilização, transmissão, bloqueio, apagamento ou destruição. O conceito é muito amplo em RGPD.

Direito do titular a solicitar restrição do tratamento de seus dados em determinadas circunstâncias (contesta exatidão, tratamento ilícito, dados já não necessários mas requeridos para defesa jurídica). Organização deve marcar dados com restrição e limitar processamento.

Acesso acidental ou ilícito, destruição, perda, alteração, divulgação não autorizada ou qualquer forma de processamento ilícito de dados pessoais que comprometa direitos ou liberdades. Requer notificação à CNPD em 72 horas e aos afetados se risco elevado.

Direito do titular a receber e reutilizar seus dados pessoais em formato estruturado, comum e legível por máquina. Permite migração de dados entre serviços. Fundamental para interoperabilidade e evitar lock-in de fornecedores.