Mais
Navegação
CAPÍTULO I Disposições gerais (1-4)
Artigo 1.o. Objeto e objetivosArtigo 2.o. Âmbito de aplicação materialArtigo 3.o. Âmbito de aplicação territorialArtigo 4.o. Definições
CAPÍTULO II Princípios (5-11)
Artigo 5.o. Princípios relativos ao tratamento de dados pessoaisArtigo 6.o. Licitude do tratamentoArtigo 7.o. Condições aplicáveis ao consentimentoArtigo 8.o. Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informaçãoArtigo 9.o. Tratamento de categorias especiais de dados pessoaisArtigo 10.o. Tratamento de dados pessoais relacionados com condenações penais e infraçõesArtigo 11.o. Tratamento que não exige identificação
CAPÍTULO III Direitos do titular dos dados (12-23)
Artigo 12.o. Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dadosArtigo 13.o. Informações a facultar quando os dados pessoais são recolhidos junto do titularArtigo 14.o. Informações a facultar quando os dados pessoais não são recolhidos junto do titularArtigo 15.o. Direito de acesso do titular dos dadosArtigo 16.o. Direito de retificaçãoArtigo 17.o. Direito ao apagamento dos dados («direito a ser esquecido»)Artigo 18.o. Direito à limitação do tratamentoArtigo 19.o. Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamentoArtigo 20.o. Direito de portabilidade dos dadosArtigo 21.o. Direito de oposiçãoArtigo 22.o. Decisões individuais automatizadas, incluindo definição de perfisArtigo 23.o. Limitações
CAPÍTULO IV Responsável pelo tratamento e subcontratante (24-43)
Artigo 24.o. Objeto e objetivos
Artigo 25.o. Proteção de dados desde a conceção e por defeito
Artigo 26.o. Responsáveis conjuntos pelo tratamentoArtigo 27.o. Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na UniãoArtigo 28.o. SubcontratanteArtigo 29.o. Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratanteArtigo 30.o. Registos das atividades de tratamentoArtigo 31.o. Cooperação com a autoridade de controloArtigo 32.o. Segurança do tratamentoArtigo 33.o. Notificação de uma violação de dados pessoais à autoridade de controloArtigo 34.o. Comunicação de uma violação de dados pessoais ao titular dos dadosArtigo 35.o. Avaliação de impacto sobre a proteção de dadosArtigo 36.o. Consulta préviaArtigo 37.o. Designação do encarregado da proteção de dadosArtigo 38.o. Posição do encarregado da proteção de dadosArtigo 39.o. Funções do encarregado da proteção de dadosArtigo 40.o. Códigos de condutaArtigo 41.o. Supervisão dos códigos de conduta aprovadosArtigo 42.o. CertificaçãoArtigo 43.o. Organismos de certificação
CAPÍTULO V Transferências de dados pessoais para países terceiros ou organizações internacionais (44-50)
Artigo 44.o. Princípio geral das transferênciasArtigo 45.o. Transferências com base numa decisão de adequaçãoArtigo 46.o. Transferências sujeitas a garantias adequadasArtigo 47.o. Regras vinculativas aplicáveis às empresasArtigo 48.o. Transferências ou divulgações não autorizadas pelo direito da UniãoArtigo 49.o. Derrogações para situações específicasArtigo 50.o. Cooperação internacional no domínio da proteção de dados pessoais
CAPÍTULO VI Autoridades de controlo independentes (51-59)
Artigo 51.o. Autoridade de controloArtigo 52.o. IndependênciaArtigo 53.o. Condições gerais aplicáveis aos membros da autoridade de controloArtigo 54.o. Regras aplicáveis à constituição da autoridade de controloArtigo 55.o. CompetênciaArtigo 56.o. Competência da autoridade de controlo principalArtigo 57.o. AtribuiçõesArtigo 58.o. PoderesArtigo 59.o. Relatórios de atividades
CAPÍTULO VII Cooperação e coerência (60-70)
Artigo 60.o. Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadasArtigo 61.o. Assistência mútuaArtigo 62.o. Operações conjuntas das autoridades de controloArtigo 63.o. Procedimento de controlo da coerênciaArtigo 64.o. Parecer do ComitéArtigo 65.o. Resolução de litígios pelo ComitéArtigo 66.o. Procedimento de urgênciaArtigo 67.o. Troca de informaçõesArtigo 68.o. Comité Europeu para a Proteção de DadosArtigo 69.o. IndependênciaArtigo 70.o. Atribuições do ComitéArtigo 71.o. RelatóriosArtigo 72.o. ProcedimentoArtigo 73.o. PresidenteArtigo 74.o. Funções do presidenteArtigo 75.o. SecretariadoArtigo 76.o. Confidencialidade
CAPÍTULO VIII Vias de recurso, responsabilidade e sanções (77-84)
Artigo 77.o. Direito de apresentar reclamação a uma autoridade de controloArtigo 78.o. Direito à ação judicial contra uma autoridade de controloArtigo 79.o. Direito à ação judicial contra um responsável pelo tratamento ou um subcontratanteArtigo 80.o. Representação dos titulares dos dadosArtigo 81.o. Suspensão do processoArtigo 82.o. Direito de indemnização e responsabilidadeArtigo 83.o. Condições gerais para a aplicação de coimasArtigo 84.o. Sanções
CAPÍTULO IX Disposições relativas a situações específicas de tratamento (85-91)
Artigo 85.o. Tratamento e liberdade de expressão e de informaçãoArtigo 86.o. Tratamento e acesso do público aos documentos oficiaisArtigo 87.o. Tratamento do número de identificação nacionalArtigo 88.o. Tratamento no contexto laboralArtigo 89.o. Garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticosArtigo 90.o. Obrigações de sigiloArtigo 91.o. Normas vigentes em matéria de proteção dos dados das igrejas e associações religiosas
CAPÍTULO X Atos delegados e atos de execução (92-93)
Artigo 92.o. Exercício da delegaçãoArtigo 93.o. Procedimento de comité
CAPÍTULO XI Disposições finais (94-95)
Artigo 94.o. Revogação da Diretiva 95/46/CEArtigo 95.o. Relação com a Diretiva 2002/58/CEArtigo 96.o. Relação com acordos celebrados anteriormenteArtigo 97.o. Relatórios da ComissãoArtigo 98.o. Revisão de outros atos jurídicos da União em matéria de proteção de dadosArtigo 99.o. Entrada em vigor e aplicação
RGPD (GDPR) > Artigo 25.o. Proteção de dados desde a conceção e por defeito
Descarregar PDF

Artigo 25.o RGPD (GDPR). Proteção de dados desde a conceção e por defeito

1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.

ISO 27701 Textos ligados
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.

(EN) […]


to read the full text

Textos ligados

2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

ISO 27701 Lei de Diretrizes & Case Textos ligados
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.

(EN) […]


to read the full text

Lei de Diretrizes & Case Textos ligados

3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos n.os 1 e 2 do presente artigo, um procedimento de certificação aprovado nos termos do artigo 42.o.

ISO 27701 Textos ligados
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Textos ligados
Regulamento Geral sobre a Proteção de Dados (RGPD, GDPR)

Comentário de especialista Considerandos Lei de Diretrizes & Case Deixe um comentário
Comentário de especialista
Considerandos

(78) A defesa dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento. Para poder comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. Tais medidas podem incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados pessoais o mais cedo possível, a transparência no que toca às funções e ao tratamento de dados pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança. No contexto do desenvolvimento, conceção, seleção e utilização de aplicações, serviços e produtos que se baseiam no tratamento de dados pessoais ou recorrem a este tratamento para executarem as suas funções, haverá que incentivar os fabricantes dos produtos, serviços e aplicações a ter em conta o direito à proteção de dados quando do seu desenvolvimento e conceção e, no devido respeito pelas técnicas mais avançadas, a garantir que os responsáveis pelo tratamento e os subcontratantes estejam em condições de cumprir as suas obrigações em matéria de proteção de dados. Os princípios de proteção de dados desde a conceção e, por defeito, deverão também ser tomados em consideração no contexto dos contratos públicos.

Lei de Diretrizes & Case Deixe um comentário
[js-disqus]