Regulamento Geral sobre a Proteção de Dados (RGPD)

PONTOS-CHAVE

Direitos individuais

O RGPD reforça os direitos existentes, prevê novos direitos e confere aos cidadãos um maior controlo sobre os seus dados pessoais. Inclui as medidas seguidamente apresentadas.

• Acesso facilitado dos cidadãos aos seus próprios dados. Inclui a prestação de mais informações sobre a forma como os dados são tratados e a garantia de que essas informações são disponibilizadas de forma clara e compreensível.
• Um direito à portabilidade dos dados. Facilita a transmissão de dados pessoais entre os prestadores de serviços.
• Um direito ao apagamento dos dados (direito a ser esquecido). Sempre que uma pessoa deixe de permitir o tratamento dos seus dados e não haja razões legítimas para a sua conservação, os dados serão apagados.
• O direito de saber quando os dados pessoais foram violados. As empresas e organizações devem notificar a autoridade de controlo da proteção de dados competente e, em casos de violações graves m matéria de dados, também as pessoas afetadas.

Regras aplicáveis às empresas

O RGPD cria condições de concorrência equitativas para todas as empresas que operam no mercado interno da UE, adota uma abordagem tecnologicamente neutra e incentiva a inovação através de várias etapas, incluindo as que a seguir se apresentam.

• Um conjunto único de regras à escala da UE. Uma lei única à escala da UE relativa à proteção de dados aumenta a segurança jurídica e reduz os encargos administrativos.
• Um encarregado da proteção de dados. Uma pessoa responsável pela proteção de dados deve ser designada pelas autoridades públicas e por empresas que efetuam o tratamento de dados em grande escala ou cuja atividade principal é o tratamento de categorias especiais de dados, tais como dados relacionados com a saúde.
• Balcão único. As empresas só têm de lidar com uma única autoridade de controlo (no Estado-Membro da UE no qual têm o seu estabelecimento principal); as autoridades de controlo relevantes cooperam no âmbito do Comité Europeu para a Proteção de Dados para os casos transfronteiriços, estando as regras processuais adicionais relativas à aplicação transfronteiriça estabelecidas no Regulamento (UE) n.º 2025/2518.
• Regras da UE para empresas não pertencentes à UE. As empresas estabelecidas fora da UE devem aplicar as mesmas regras quando comercializam bens ou serviços, ou quando controlam o comportamento dos cidadãos no interior da UE.
• Regras favoráveis à inovação. Uma garantia de que são integradas salvaguardas em matéria de proteção de dados nos produtos e serviços desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por defeito).
• Técnicas favoráveis à privacidade. A pseudonimização (quando os campos de identificação de um registo de dados são substituídos por um ou mais identificadores artificiais) e a criptografia (quando os dados são codificados de tal forma que apenas podem ser lidos pelas partes autorizadas) são incentivadas, a fim de limitar o tratamento intrusivo.
• Eliminação das notificações. O RGPD rejeitou a maioria das obrigações de notificação e os custos associados às mesmas. Um dos seus objetivos é eliminar os obstáculos que afetam a livre circulação de dados pessoais na UE. Esta medida facilitará a expansão das empresas no mercado único digital.
• Avaliações do impacto sobre a proteção de dados. As organizações terão de realizar avaliações de impacto sempre que o tratamento de dados seja suscetível de resultar num risco elevado para os direitos e liberdades das pessoas.
• Conservação de um registo de atividades. As pequenas e médias empresas não são obrigadas a manter registos das atividades de tratamento de dados, a menos que tal tratamento seja efetuado regularmente ou seja suscetível de implicar um risco para os direitos e liberdades da pessoa cujos dados são tratados, ou inclua categorias de dados sensíveis.
• Um conjunto de instrumentos moderno para as transferências internacionais de dados. O RGPD oferece vários instrumentos para a transferência de dados para fora da UE, incluindo decisões de adequação adotadas pela Comissão Europeia no âmbito das quais o país não pertencente à UE oferece um nível adequado de proteção, cláusulas contratuais previamente aprovadas (cláusulas-tipo), regras vinculativas das empresas, códigos de conduta e certificação.

Aplicação do RGPD em casos transfronteiriços

O Regulamento (UE) 2025/2518 (adotado em 26 de novembro de 2025 e publicado no Jornal Oficial em 12 de dezembro de 2025) estabelece regras processuais para a aplicação do RGPD em casos transfronteiriços (em que está envolvida mais de uma autoridade da UE/do Espaço Económico Europeu). O objetivo é tornar as investigações e o tratamento de queixas mais rápidos e mais coerentes em todos os Estados-Membros.

O regulamento reforça e normaliza processos como a forma como as reclamações são apresentadas e apreciadas, a cooperação entre a autoridade de controlo principal e outras autoridades interessadas e direitos processuais mais claros para as principais partes (reclamantes e partes sob investigação). Destina-se a melhorar a eficiência e a segurança jurídica na aplicação transfronteiriça do RGPD, apoiando simultaneamente uma coordenação mais eficaz entre as autoridades reguladoras.

Revisão

A Comissão Europeia publicou o primeiro relatório sobre a avaliação e revisão do regulamento em junho de 2020. Foi publicado um segundo relatório em julho de 2024, e o próximo relatório está previsto para 2028.