Estudo de Caso - GDPR

Prévia do material em texto

CASO
2 0 1 8 – 2 0 2 3
ESTUDOS
Traduzido do Inglês para o Português - www.onlinedoctranslator.com
https://www.onlinedoctranslator.com/pt/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution
2
Índice
Introdução 7
Reclamações de solicitação de acesso 8
Estudo de caso 1: Resposta tardia a um pedido de acesso 
(lei aplicável — RGPD e Lei de Proteção de Dados de 
2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 11: Falha em responder integralmente a uma 
solicitação de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
158 Estudo de caso 12: Acesso a imagens de CFTV . . . . . . . . . . . .
Estudo de caso 2: Solicitação de acesso ao clube de golfe para 
CFTV (Lei aplicável — GDPR e Lei de Proteção de Dados de 
2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 13: Obrigação de fundamentar a 
recusa de acesso a dados pessoais . . . . . . . . 16
8
Estudo de caso 14: Expressões confidenciais de opinião e 
solicitações de acesso a assuntos. . . . . . . . . . . . . . . . . . . . . .Estudo de caso 3: Nenhuma resposta recebida à solicitação de 
acesso do sujeito (Resolução Amigável). . . . . . . . . . . . . .
16
9
Estudo de caso 15: Solicitações de acesso e material legalmente 
privilegiado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 4: Privilégio legal invocado para reter dados 
pessoais (reclamações de solicitação de acesso) . . . . . . . .
17
10
Estudo de caso 16: Processamento no contexto de uma investigação 
no local de trabalho. . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 5: Conteúdo ausente em uma solicitação de 
acesso (Resolução Amigável) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
10
Estudo de caso 17: Base jurídica para o tratamento e 
segurança do tratamento . . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de Caso 6: Solicitações de identificação no 
atendimento a solicitações de acesso (Resolução Amigável)
20
11
Estudo de caso 18: Acesso à informação relativa à avaliação 
de crédito de um banco . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 7: Solicitação de filmagem de reunião on-
line (reclamações de acesso) . . . . . . . . . . . . . . . . . . . . .
21
12
Estudo de caso 19: Divulgação, retirada de consentimento para 
processamento e solicitação de acesso do sujeito. . . . . . . . . . . .Estudo de caso 8: Isenções aplicadas a imagens de CCTV 
(reclamações de acesso). . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
13
Estudo de caso 20: Decisão do artigo 60.º relativa ao Airbnb 
Ireland UC — Resposta atrasada a um pedido de acesso e a 
um pedido de eliminação . . . . . . . . . . . . . . . . .
Estudo de caso 9: Falha na resposta a uma solicitação de acesso 13
Estudo de caso 10: Falha na resposta a uma solicitação de acesso 
(II) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
23
Precisão 24
Estudo de caso 21: Direito ao pedido de retificação a um grupo 
de cuidados de saúde (Lei Aplicável — RGPD e Lei de Proteção 
de Dados de 2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 23: Prova de identificação e minimização de 
dados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2724 Estudo de caso 24: Precisão dos dados. . . . . . . . . . . . . . . . . . . . .
Estudo de caso 22: Informações imprecisas mantidas em um 
sistema bancário. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Reclamações transfronteiriças 28
Estudo de caso 25: Tratamento da reclamação de um titular de 
dados irlandês contra a Cardmarket, com sede na Alemanha, 
usando o mecanismo GDPR One Stop Shop (lei aplicável — 
GDPR e Lei de Proteção de Dados de 2018) . . . . . . . .
Estudo de caso 26: A operação do Procedimento do Artigo 
60 em reclamações transfronteiriças: Groupon . . . . 29
Estudo de caso 27: Resolução amigável em reclamações 
transfronteiriças: MTCH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 30
3
Estudo de caso 28: Resolução amigável em reclamações 
transfronteiriças: Facebook Ireland . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 32: Resolução amigável em reclamações 
transfronteiriças — Yahoo EMEA Limited . . . . . . . . . . . . . . . .31 36
Estudo de caso 29: Não resposta do artigo 60.º a um pedido 
de acesso da Ryanair. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 33: TikTok e cooperação com outras autoridades 
de proteção de dados da UE. . . . . . . . . . . . . . . . . . . . . . .32 37
Estudo de caso 30: Resolução amigável em reclamações 
transfronteiriças — pedido de acesso à Airbnb. . . . . . . . . . . .
Estudo de caso 34: Pedido de apagamento ao Tinder por titular 
de dados grego, tratado pela DPC como Autoridade Supervisora 
Principal. . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
Estudo de caso 31: Resolução amigável em reclamações 
transfronteiriças: Google (YouTube) . . . . . . . . . . . . . . . . . . . .
37
35 Estudo de caso 35: Reclamação transfronteiriça resolvida 
através do procedimento de cooperação da UE. . . . . . . . . . . . . . . 38
Notificação de violação de dados 40
Estudo de caso 36: Falha na implementação das políticas de 
proteção de dados em vigor . . . . . . . . . . . . . . . . . . . . . . .
Estudo de Caso 46: Dados bancários de notificação de violação (Setor 
Financeiro) enviados por WhatsApp. . . . . . . . . . . . . . . . . . .40 44
Estudo de caso 37: Dispositivo USB não criptografado perdido 
no correio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 47: Notificação de violação (12 cooperativas de crédito) Erro 
de codificação do processador . . . . . . . . . . . . . . . . . . . . . . . . . .40
41
41
41
42
42
44
45Estudo de caso 38: Phishing de sites . . . . . . . . . . . . . . . . . .
Estudo de caso 39: Perda de arquivos em papel em trânsito . . . . . . . . .
Estudo de caso 40: Ataque de troca de SIM . . . . . . . . . . . . . . . . . . .
Estudo de caso 41: Perda de controle de arquivos em papel . . . . . . . .
Estudo de caso 42: Ataque de ransomware . . . . . . . . . . . . . . .
Estudo de caso 48: Violações semelhantes repetidas . . . . . . . . .
Estudo de caso 49: Divulgação não autorizada decorrente de 
videoconferência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
46Estudo de caso 50: Divulgação devido a e-mail mal direcionado.
Estudo de caso 51: Descarte inadequado de materiais por 
uma instituição educacional. . . . . . . . . . . . . . . . . . . . . . . . 46
Estudo de caso 43: Divulgação de imagens de CCTV através das 
redes sociais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Estudo de caso 52: Endereços de e-mail divulgados por correio 
de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
47
Estudo de caso 44: Notificação de violação (setor voluntário) 
— Ataque de ransomware. . . . . . . . . . . . . . . . . . . . 43 Estudo de caso 53: Ataque de engenharia social. . . . . . . . . . .
Estudo de caso 45: Notificação de violação (setor público) 
Publicação errônea no Twitter . . . . . . . . . . . . . . . . .
Estudo de caso 54: Dados imprecisos que conduzem a um risco 
potencial elevado resultante de dados imprecisos da Central de 
Responsabilidades de Crédito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
48
48Estudo de caso 55: Hacking de e-mail de terceiros. . . . . . . .
Divulgação/Divulgação Não Autorizada 50
Estudo de caso 56: Informações financeiras enviadas erroneamente 
para um restaurante (Lei aplicável — Leis de Proteção de Dados de 
1988 e 2003 (as Leis)) . . . . . . . . . . . . . . . . . . . .
Estudo de caso 60: HospitalHSE/Agência de Saúde . . . . 53
Estudo de caso 61: Divulgação não autorizada de registos de 
faturação eletrónica de telemóveis, contendo dados pessoais, 
por uma empresa de telecomunicações, ao antigo empregador 
do titular dos dados (Lei aplicável: Leis de proteção de dados de 
1988 e 2003 (“as Leis”)). . . . . . . . . . . . . . . . . .
50
Estudo de caso 57: Violação de dados de OSC — Divulgação de 
dados P45 (lei aplicável — Leis de proteção de dados de 1988 e 
2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 54
Estudo de caso 58: Transcrição do chat web da Ryanair enviada a 
outro cliente (Lei aplicável — GDPR e Lei de Proteção de Dados 
de 2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 62: Suposta divulgação de dados pessoais do 
reclamante por uma autoridade local (Queixa de Violação de 
Dados) . . . . . . . . . . . . . . . . . . . . . . . . .52 55
Estudo de caso 59: Transmissão de dados por um 
departamento governamental via WhatsApp (Lei aplicável — 
Leis de Proteção de Dados de 1988 e 2003 (as Leis))
Estudo de caso 63: Divulgação não autorizada em ambiente 
de trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
52
4
Estudo de caso 64: Falta de medidas de segurança 
adequadas, divulgação não autorizada num ambiente de 
trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 69: Divulgação por uma cooperativa de crédito dos 
dados pessoais de um membro a uma empresa de investigações 
privadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
58
58
61
Estudo de caso 65: Divulgação sem consentimento. . . . . . . . .
Estudo de caso 66: Divulgação de dados confidenciais . . . . . . . . .
Estudo de caso 70: Divulgação do nome e número de telemóvel 
de um jornalista por uma figura pública . . . . . . . . . . . 62
Estudo de caso 67: Divulgação de extratos de conta por um 
banco ao representante de um titular de conta conjunta
Estudo de caso 71: Divulgação de dados pessoais e 
financeiros a terceiros e pedido de apagamento . . . . . . . . . .59 63
Estudo de caso 68: Divulgação e publicação não autorizada 
de uma fotografia. . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 72: Divulgação de dados pessoais (Lei 
Aplicável — GDPR e Lei de Proteção de Dados de 
2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
64
Estudo de caso 73: Medidas de segurança apropriadas para dados de 
saúde enviados por e-mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Marketing Direto Eletrônico 66
Estudo de caso 74: Acusação da Viking Direct (Ireland) 
Limited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 81: Processo da Cari's Closet Limited . . 70
66 Estudo de caso 82: Acusação da Shop Direct Ireland 
Limited T/A Littlewoods Ireland . . . . . . . . . . . . . . . . . . .Estudo de caso 75: Processo de Clydaville Investments 
Limited, T/A The Kilkenny Group . . . . . . . . . . . . . . . . . .
71
67 Estudo de caso 83: A Vodafone busca detalhes de emprego 
dos clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 76: Acusação da DSG Retail Ireland 
Limited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
67 Estudo de caso 84: Processo de Three Ireland 
(Hutchison) Limited (ePrivacy) . . . . . . . . . . . . . . . . . . . . .Estudo de caso 77: Acusação da Vodafone Ireland 
Limited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
68 Estudo de caso 85: Acusação da Vodafone Ireland 
Limited (ePrivacy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 78: Processo contra Starrus Eco Holdings 
Limited, T/A Panda e Greenstar . . . . . . . . . . . . . . . . .
72
7369 Estudo de caso 86: Acusação da Guerin Media Limited
Estudo de caso 79: Acusação da Vodafone Ireland 
Limited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 87: Acusação da Vodafone Ireland 
Limited . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
70
73
Estudo de caso 80: Acusação da Just-Eat Ireland Limited
Apagamento 74
Estudo de Caso 88: Retenção de dados pessoais de menores 
por uma Agência Estatal (Resolução Amigável) (Lei Aplicável 
— Leis de Proteção de Dados, 1988 e 2003) . . . . . . .
Estudo de caso 96: Solicitação de apagamento e dependência do 
Código de Defesa do Consumidor. . . . . . . . . . . . . . . . . . . . . . . 79
8074 Estudo de caso 97: Envolvimento dos cobradores de dívidas . . . . . . . . .
Estudo de caso 89: Pedido de exclusão feito ao motor de 
pesquisa na Internet (Lei Aplicável — RGPD e Lei de Proteção de 
Dados de 2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 98: Retenção de dados por um banco relativos a 
um pedido de empréstimo retirado . . . . . . . . . . . . . . . . . . . . . 81
74
75
Estudo de caso 99: Processamento ilegal e solicitação de 
apagamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 90: Direito ao esquecimento (Microsoft) . . . .
Estudo de caso 91: Solicitação de acesso e apagamento (Pinterest) 76
Estudo de caso 92: Direito ao esquecimento (Microsoft) . . . .
82
Estudo de caso 100: Processamento ilegal de fotografia e 
pedido de apagamento nos termos do artigo 17.º do RGPD 
(Lei Aplicável — RGPD e Lei de Proteção de Dados de 
2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
Estudo de caso 93: Resolução amigável — direito ao 
apagamento e conteúdo gerado pelo utilizador . . . . . . . . . . . . . . 77 83
Estudo de caso 94: Resolução amigável numa reclamação 
transfronteiriça — direito ao apagamento . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 101: Decisão do Artigo 60 relativa à Empresa 
Internacional do Twitter — Solicitação de ID, Solicitação de 
Apagamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
84
Estudo de caso 95: Resolução amigável — direito ao apagamento 78
5
Diretiva de aplicação da lei (LED) 86
Estudo de caso 102: Restrições de dados — dados de terceiros; 
parecer emitido confidencialmente (Diretiva relativa à aplicação 
da lei) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 105: Restrições de dados — processos 
pendentes (Diretiva de aplicação da lei) . . . . . . . . . . . . . . 87
86 Estudo de caso 106: Restrições de acesso (Diretiva de 
aplicação da lei) . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 103: Restrições de dados — ausência de 
consentimento de todas as partes (Diretiva de Aplicação da Lei)
88
8986 Estudo de caso 107: Diretiva de aplicação da lei (LED) . . .
Estudo de caso 104: Limitação da finalidade — Diretiva de 
aplicação da lei . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Objeção ao Processamento 90
Estudo de caso 108: Uso de dados de localização para verificar 
declarações de despesas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 115: Tratamento necessário para efeitos de 
interesses legítimos prosseguidos por um responsável pelo 
tratamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
Estudo de caso 109: Obtenção justa de reclamação contra 
um clube de golfe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
97
91 Estudo de caso 116: Processamento necessário para 
efeitos de execução de um contrato . . . . . . . . . . . . .Estudo de caso 110: Processamento ilegal resultante de 
erro de faturação (Lei aplicável — Leis de proteção de dados 
de 1988 e 2003 (as Leis)) . . . . . . . . . . . . . . . . . . . . . . . .
98
Estudo de caso 117: Processamento justo elegal de 
imagens CCTV de um cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
92
99
Estudo de caso 111: Receptores e processamento justo . . . . . . Estudo de caso 118: Processamento e divulgação ilegais de 
dados de categorias especiais . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de caso 112: Publicação não autorizada de 
fotografia (Resolução Amigável) . . . . . . . . . . . . . . . .
100
94 Estudo de caso 119: Processamento ilegal de dados de 
categorias especiais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Estudo de Caso 113: Processamento de imagens de cerimónia 
fúnebre pela igreja paroquial (Resolução Amigável) . . . . .
101
95 Estudo de caso 120: Tratamento leal de dados pessoais (Lei 
Aplicável — RGPD e Lei de Proteção de Dados de 
2018) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estudo de caso 114: Processamento adicional para uma finalidade 
compatível . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 101
Limitação de finalidade 104
Estudo de caso 121: Utilização de CFTV no local de trabalho . . . . . . 104 Estudo de caso 122: Processamento de dados de categorias especiais 105
Transparência 106
Estudo de caso 123: Fornecimento de imagens CCTV por um bar 
a um empregador (lei aplicável — Leis de Protecção de Dados 
de 1988 e 2003 (as Leis)) . . . . . . . . . . . . . . . . . . . .
Estudo de caso 125: Processamento de dados de saúde . . . . . . . . . 108
Estudo de caso 126: Uso de dados do cartão magnético do 
funcionário para fins disciplinares . . . . . . . . . . . . . . . . . . . . . . . . .106 109
Estudo de Caso 124: Confiança no consentimento na utilização 
de fotografias de crianças sob a forma de material promocional 
por uma Agência Estatal (Lei Aplicável — Leis de Protecção de 
Dados de 1988 e 2003) . . . . . . . . . . . . . . . . . . . 107
Índice 110
6
Introdução
A missão da Comissão de Proteção de Dados (DPC) é 
defender a aplicação consistente da lei de proteção de dados 
através do envolvimento, supervisão e aplicação, e promover 
o cumprimento da legislação de proteção de dados. A DPC 
reconhece que um pilar fundamental para o sucesso desta 
missão é apoiar as organizações e promover a conformidade. 
Para alcançar este resultado, a DPC comprometeu-se a 
publicar regularmente estudos de caso que ilustrem como a 
lei de protecção de dados é aplicada, como o incumprimento 
é identificado e como são impostas medidas correctivas. Nos 
últimos cinco anos, desde a introdução do Regulamento 
Geral de Proteção de Dados (RGPD), a DPC publicou estudos 
de caso detalhados.
ESTUDOS DE CASO 7
Solicitação de acesso
Reclamações
ESTUDO DE CASO 1
Resposta tardia a uma solicitação de acesso
(Lei aplicável — GDPR e Lei de Proteção de Dados de 2018)
O Regulamento Geral de Proteção de Dados (RGPD) impõe 
prazos aos responsáveis pelo tratamento de dados para 
responder aos pedidos dos titulares dos dados quando estes 
exercem os seus direitos. No caso de um titular dos dados 
que solicitou a gravação de uma chamada telefónica 
realizada entre o titular dos dados e a linha do operador de 
atendimento ao cliente de uma empresa tecnológica 
multinacional para dar seguimento a uma reclamação de 
atendimento ao cliente, foi apresentada reclamação ao 
Departamento de Proteção de Dados. Comissão (DPC) que o 
pedido de acesso apresentado nos termos do artigo 15.º do 
RGPD não foi processado dentro do prazo estabelecido pelo 
RGPD.
Após a recepção da reclamação, a DPC contactou a empresa em 
causa para a informar da reclamação e para averiguar se havia 
alguma acção que gostaria de tomar relativamente a este 
assunto. A empresa respondeu ao titular dos dados com cópia da 
chamada telefónica solicitada e, consequentemente, o titular dos 
dados ficou satisfeito com a resolução amigável da reclamação. 
Com base nas circunstâncias deste caso individual, a DPC não 
considerou necessária nenhuma ação regulatória adicional.
ESTUDO DE CASO 2
Pedido de acesso ao clube de golfe para CCTV
(Lei aplicável – GDPR e Lei de Proteção de Dados de 2018)
Em novembro de 2018, recebemos uma reclamação de um titular de 
dados relativamente a um pedido de acesso aos seus dados pessoais, 
incluindo imagens de CCTV para uma determinada hora e data, 
efetuado a um clube de golfe, o responsável pelo tratamento dos 
dados.
O titular dos dados forneceu-nos uma correspondência inicial do 
clube de golfe perguntando-lhe por que razão necessitava das 
imagens e correspondência subsequente informando-o de que 
tinha descoberto um problema com o software do sistema CCTV e 
não lhe foi possível fornecer as imagens solicitadas.
8 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
Esta reclamação foi considerada potencialmente capaz de ser resolvida 
amigavelmente nos termos da Seção 109 da Lei de Proteção de Dados 
de 2018.
empresa que descreveu os problemas com o sistema CCTV, 
incluindo o fato de que o disco rígido do sistema CCTV falhou e o 
sistema não estava em uso há algum tempo. A DPC ficou 
satisfeita com a explicação técnica fornecida e o clube de golfe 
concordou que esta carta pudesse ser partilhada com o 
queixoso. O queixoso ficou satisfeito com a explicação, o que 
conduziu a uma resolução amigável. Este caso ilustra que mesmo 
quando trabalha no sentido de facilitar ou arranjar uma 
resolução amigável de uma reclamação, a DPC ainda espera a 
responsabilização por parte do responsável pelo tratamento ou 
subcontratante e examinará minuciosamente as explicações e 
razões dadas quanto ao incumprimento das suas obrigações em 
a fim de garantir que a posição apresentada seja verificável e 
demonstrável.
Como parte do processo de resolução amigável, solicitamos 
uma explicação do clube de golfe sobre o motivo pelo qual o 
CCTV solicitado não pôde ser fornecido ao reclamante. O 
clube de golfe informou-nos que o seu sistema CCTV não 
estava operacional na data para a qual o titular dos dados 
solicitou imagens, e que tal só foi descoberto quando 
procurou dar cumprimento ao pedido de acesso. A DPC não 
ficou satisfeita com a generalidade desta explicação e exigiu 
uma explicação escrita mais detalhada sobre as questões que 
afectam o CCTV, que também poderia ser partilhada com o 
queixoso. Em resposta a este pedido, recebemos uma carta 
da segurança do clube de golfe
ESTUDO DE CASO 3
Nenhuma resposta recebida à solicitação de acesso do 
sujeito (Resolução Amigável)
A DPC recebeu uma reclamação de um indivíduo relativamente a 
um pedido de acesso feito por ele a um responsável pelo 
tratamento de dados, uma casa de leilões cuja plataforma o 
reclamante utilizou para vender mercadorias, para obter uma 
cópia de todas as informações relativas aos mesmos. Nenhuma 
resposta foi recebida do controlador de dados, apesar do 
indivíduo ter emitido dois lembretes subsequentes.
Depois de examinar a questão minuciosamente, ficou evidente para a DPC 
que o responsável pelo tratamento de dados violou o artigo 12.º, n.º 3, do 
RGPD, uma vez que os responsáveis pelo tratamento têm a obrigação de 
fornecer uma resposta ao pedido de acesso do titular do indivíduo dentro 
do prazo legal estabelecido no artigo 12.º do GDPR, mesmo quando o 
responsável pelo tratamento não estiver na posse de tais dados.
No que diz respeito ao pedido de acesso do indivíduo, não se justificava qualquer 
ação adicional sobre este assunto, uma vez que não havia provas que sugerissem 
que quaisquer dados relativos ao indivíduo fossem detidos pelo responsável pelo 
tratamento dos dados. A DPC emitiu um conselho ao responsável pelo tratamento 
de dados, lembrando-lhe as suas obrigações especificamente nos termos dos 
artigos 12.º e 15.º e a obrigação de fornecer informações sobre as ações tomadas 
em relação a um pedido de acesso do titular, mesmo em circunstâncias em que tal 
seja para informar um indivíduo de que não o faz. não contém nenhum dado.
Esta reclamação foiidentificada como potencialmente suscetível de 
resolução amigável ao abrigo da Secção 109 da Lei de Proteção de 
Dados de 2018, tendo tanto o reclamante como o responsável pelo 
tratamento de dados concordado em trabalhar com a DPC para tentar 
resolver a questão amigavelmente. O responsável pelo tratamento de 
dados contactou a DPC sobre o assunto e informou-nos que, embora 
tivesse anteriormente uma relação comercial com o indivíduo em 2016, 
não detinha qualquer informação relativa a ele, uma vez que tinha 
instalado um novo sistema em maio de 2018, e nenhum dado foi 
mantido antes disso. Informou ainda à DPC que havia destruído todos 
os arquivos em papel e que seus assessores jurídicos informaram que 
não era obrigatório retê-los.
O responsável pelo tratamento também forneceu à DPC capturas de tela do 
seu sistema eletrônico dos resultados de uma pesquisa pelo nome da 
pessoa, que não identificou nenhum resultado a ser exibido. O artigo 12.º, 
n.º 3, do RGPD estabelece que “o responsável pelo tratamento fornecerá 
informações sobre as medidas tomadas relativamente a um pedido nos 
termos dos artigos 15.º a 22.º ao titular dos dados, sem demora injustificada 
e, em qualquer caso, no prazo de um mês a contar da receção do pedido”.
ACESSE q UEST RECLAMAÇÕES 9
ESTUDO DE CASO 4
Privilégio Legal invocado para reter dados pessoais 
(Reclamações de Solicitação de Acesso)
A DPC tratou de um caso que dizia respeito ao 
requerimento de um indivíduo a um hospital para obter 
seus dados pessoais. Este indivíduo instruiu o seu 
advogado em relação a uma ação de negligência contra o 
hospital decorrente dos cuidados que recebeu.
retido. Através do processo de tratamento de reclamações, a DPC 
estabeleceu que as declarações dos funcionários foram preparadas 
no decurso de uma revisão interna do hospital sobre os cuidados 
prestados ao paciente.
A DPC solicitou a visualização — de forma voluntária — da 
documentação retida ao indivíduo em resposta à solicitação 
de acesso, a fim de se certificar de que seu conteúdo e 
elegibilidade para isenção de liberação foram validamente 
aplicados. Nas circunstâncias em que a declaração foi 
preparada para o propósito principal de uma revisão interna 
e nenhum litígio foi iniciado ou ameaçado na data da criação 
das declarações, a DPC não ficou convencida de que o 
privilégio de litígio se aplicava e determinou que elas fossem 
liberadas.
No momento em que o indivíduo apresentou a queixa, a DPC, 
através do seu advogado, o hospital já tinha divulgado alguns 
registos médicos, mas o indivíduo informou que aguardavam 
notas não clínicas, que o hospital se recusava a divulgar com 
base no facto de estarem sujeitos a privilégio de litígio. 
Especificamente, o indivíduo (que foi representado pelo seu 
advogado na queixa apresentada à DPC) era de opinião que 
várias declarações do pessoal tinham sido
ESTUDO DE CASO 5
Conteúdo ausente em uma solicitação de 
acesso (Resolução Amigável)
A DPC recebeu uma reclamação de um indivíduo relativamente a 
um pedido de acesso do titular feito por ele a um responsável 
pelo tratamento de dados para obter uma cópia de todas as 
informações que lhe dizem respeito. O responsável pelo 
tratamento dos dados estava envolvido na gestão do parque de 
estacionamento e surgiu um litígio na sequência do bloqueio do 
veículo do indivíduo. O incidente de aperto foi objeto de recurso 
para a Autoridade Nacional dos Transportes. O indivíduo não 
recebeu nenhuma resposta do controlador de dados.
Posteriormente, o controlador de dados forneceu a este escritório um 
relatório da empresa, que hospeda seus serviços de e-mail, mostrando 
que o e-mail em questão foi recebido, mas foi colocado em 
quarentena como suspeita de spam e não chegou a nenhuma das 
caixas de correio pretendidas nem foi aberto por qualquer pessoa 
dentro a organização .
Este e-mail foi excluído automaticamente de seus servidores após 
14 dias. O responsável pelo tratamento também forneceu capturas 
de tela das pesquisas realizadas em cada uma das caixas de 
correio pretendidas, que não retornaram o e-mail em questão.
O indivíduo recebeu posteriormente os seus dados pessoais, 
mas não considerou que os dados que lhe foram fornecidos 
estavam completos. Após a intervenção da DPC, foram 
realizadas novas pesquisas e o responsável pelo tratamento 
identificou dados adicionais que foram divulgados ao 
indivíduo.
O artigo 12.º, n.º 3, do RGPD estabelece que “o responsável pelo tratamento 
deve fornecer informações sobre as medidas tomadas relativamente a um 
pedido nos termos dos artigos 15.º a 22.º ao titular dos dados, sem demora 
injustificada e, em qualquer caso, no prazo de um mês a contar da receção do 
pedido”.
Depois de examinar a questão minuciosamente, ficou evidente para a 
DPC que o responsável pelo tratamento dos dados não cumpriu as 
suas obrigações nos termos do artigo 12.º, n.º 3, do RGPD, uma vez 
que tinha a obrigação de fornecer uma resposta ao pedido de acesso 
do titular do indivíduo dentro do prazo legal. , e os dados fornecidos 
ao indivíduo neste caso foram fornecidos
O indivíduo permaneceu insatisfeito porque não recebeu uma cópia de 
um determinado e-mail, que havia enviado ao controlador de dados. 
Afirmaram que era importante para o seu recurso que pudessem 
provar que o responsável pelo tratamento dos dados tinha recebido o 
correio electrónico em questão.
10 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
fora deste prazo. Relativamente ao e-mail, que foi colocado em 
quarentena pelo sistema do responsável pelo tratamento, ficou 
claro que este e-mail não existia no momento em que foi feito o 
pedido de acesso. Ao tomar decisões sobre a quarentena de e-
mails, o controlador deve ter a devida consideração
às obrigações de segurança, em conformidade com o artigo 32.º, 
mas também garantir que não infrinja os direitos dos indivíduos. 
Neste caso, não houve interferência de nenhum direito aparente 
durante a quarentena inicial e exclusão do e-mail em questão.
ESTUDO DE CASO 6
Pedidos de identificação na resposta a 
pedidos de acesso (Resolução Amigável)
Foi recebida uma reclamação de um indivíduo que apresentou 
um pedido de acesso a um hotel (o responsável pelo tratamento 
de dados) para obter uma cópia de todas as informações que 
lhe dizem respeito. O hotel solicitou ao solicitante que 
fornecesse uma cópia da conta de serviços públicos e uma cópia 
do documento de identidade com foto verificado pela An Garda 
Síochána. A DPC solicitou ao responsável pelo tratamento que 
expusesse as preocupações específicas que tinha em relação à 
identidade do requerente nos casos em que o endereço postal e 
o endereço de e-mail utilizados pelo requerente eram os 
mesmos que os fornecidos por ele durante o processo de 
reserva e check-in. no hotel. Os dados foram posteriormente 
divulgados ao solicitante.
Tendo em conta o princípio geral da minimização dos dados, procurar 
mais informações do que as já detidas como meio de provar a 
identidade será provavelmente desproporcionado . Um pedido de 
identificação oficial só será provavelmente proporcional para validar a 
identificação quando a categoria de informação
relativos a esse indivíduo são de natureza sensível e onde as informações 
constantes do documento de identidade oficial podem ser corroboradas 
com os dados pessoais já detidos pelo responsável pelo tratamento, como 
foto, endereço ou data de nascimento.
As categorias de dados pessoais mantidos e a probabilidade dos 
riscos associados à sua divulgação devem ser consideradas caso a 
caso para determinar o nível mínimo de informação exigido. 
Quando não forem mantidos dados pessoais de categoria 
especial, a confirmação do endereço poderá ser suficiente.
Nos casos em que exista de facto uma categoria especial de pessoal, 
poderão ser proporcionadas informações adicionais, mas apenas 
aquelas que sejam suficientes para confirmar a identidade, tendo 
em conta os dados jáem tratamento.
Em relação à abordagem geral de pedido de identificação quando os 
titulares dos dados procuram exercer os seus direitos, os responsáveis 
pelo tratamento apenas devem solicitar a quantidade mínima de 
informações adicionais necessárias e proporcionais para provar a 
identidade do requerente. A procura de prova de identidade seria 
menos apropriada quando não houvesse dúvidas reais sobre a 
identidade; mas quando existem dúvidas, ou a informação procurada é 
de natureza particularmente sensível, então pode ser apropriado 
solicitar provas.
ACESSE q UEST RECLAMAÇÕES 11
ESTUDO DE CASO 7
Solicitação de filmagem da reunião on-line 
(reclamações de acesso)
Um indivíduo participou de uma reunião Zoom que foi 
gravada pelo controlador de dados. Esta foi a Assembleia 
Geral Anual (AGM) do clube desportivo. O indivíduo fez uma 
solicitação de acesso para uma cópia desta gravação. O 
responsável pelo tratamento recusou o pedido, afirmando 
que o mesmo não se enquadrava no âmbito de aplicação do 
RGPD. O indivíduo acreditava que os dados contidos na 
gravação eram seus dados pessoais. O controlador de dados 
afirmou que as gravações de vídeo da Assembleia Geral não 
estavam mais acessíveis devido à corrupção durante o 
salvamento e à inexperiência do controlador de dados na 
utilização deste software de hospedagem remota de vídeo. 
No entanto, afirmaram que a ata da reunião estaria 
disponível para visualização dentro de algumas semanas.
Outras questões surgiram quando o indivíduo recebeu 
transcrições escritas do vídeo. O indivíduo alegou que as 
transcrições eram imprecisas e não refletiam o conteúdo do 
vídeo original.
Diante disso, a DPC entrou em contato mais uma vez com o 
responsável pelo tratamento, tanto destacando a opinião da DPC 
quanto ao avanço do artigo 15, n.º 4, quanto solicitando a 
visualização do vídeo do qual foi feita a transcrição.
O controlador de dados forneceu apenas o áudio do vídeo. Após a 
avaliação, ficou claro que a transcrição era um reflexo preciso do 
conteúdo de áudio do vídeo. A DPC recomendou que, para facilitar 
uma resolução amigável nesta fase, o responsável pelo 
tratamento libere ao indivíduo o mesmo conteúdo de áudio, 
previamente fornecido à DPC. O responsável pelo tratamento 
atendeu, mas o indivíduo ainda não ficou satisfeito, reafirmando 
mais uma vez o seu pedido de visualização do conteúdo do vídeo. 
Após nova solicitação da DPC para declarar a isenção em que se 
baseava para restringir o acesso ao conteúdo de vídeo, foi 
decidido pelo controlador de dados liberar o conteúdo de vídeo 
completo ao indivíduo. A DPC não recebeu cópia do conteúdo 
completo do vídeo, e por isso não foi possível avaliar diretamente 
se havia alguma disparidade entre ele e o áudio fornecido. No 
entanto, após a confirmação do seu recebimento, o indivíduo 
declarou estar satisfeito com o seu conteúdo e assim o assunto foi 
resolvido amigavelmente.
Neste momento, a DPC propôs a conclusão deste caso à luz da 
aparente inacessibilidade dos vídeos procurados pelo indivíduo, mas o 
indivíduo não concordou com esta abordagem, afirmando que a 
videoconferência utilizada durante a AGO tinha sido prática comum 
para os dados responsável pelo tratamento durante algum tempo e 
por isso parecia improvável ao indivíduo que as dificuldades descritas 
pelo responsável pelo tratamento de dados tivessem ocorrido. Após 
novo questionamento da DPC, o responsável pelo tratamento dos 
dados confirmou que as imagens de vídeo estavam de facto 
disponíveis, mas apresentou o artigo 15.º, n.º 4, do RGPD como razão 
para a sua restrição. O controlador de dados afirmava agora que as 
imagens de vídeo de terceiros visíveis na gravação poderiam ser 
consideradas dados de terceiros e o indivíduo não tinha direito a isso. 
No entanto, eles estavam dispostos a fornecer transcrições escritas 
das filmagens ao indivíduo. A DPC contestou, entendendo que, tendo 
em conta o carácter público das gravações originais, por fazerem 
parte de uma Assembleia Geral, as mesmas foram realizadas com o 
entendimento do participante de que poderiam ser consideradas 
acessíveis posteriormente.
O caso acima envolveu extensa comunicação entre a DPC, o 
controlador de dados e o indivíduo. Esta questão poderia ter sido 
resolvida pelo controlador de dados se ele tivesse divulgado as 
imagens de vídeo solicitadas após o recebimento da solicitação de 
acesso. Se o responsável pelo tratamento dos dados estivesse ciente 
das suas obrigações ao abrigo do RGPD em primeira instância, este 
caso não teria sido apresentado à DPC.
12 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 8
Isenções aplicadas a imagens de CCTV 
(reclamações de acesso)
A DPC recebeu reclamação de uma pessoa física referente a 
um pedido de acesso feito ao controlador de dados, um 
varejista. Os advogados que actuam em nome do indivíduo 
em relação a uma reclamação de danos pessoais 
apresentaram o pedido de acesso relativo a um período de 
duas semanas quando o alegado incidente ocorreu. Eles 
estavam buscando registros do incidente para incluir imagens 
de CCTV. Os dados foram divulgados, mas o indivíduo 
identificou que as imagens do CCTV, o formulário de relatório 
do acidente e os depoimentos das testemunhas não haviam 
sido divulgados. Ao responder à consulta do indivíduo em 
relação a estes itens, o controlador de dados informou que 
estava restringindo o acesso aos itens, pois era necessário 
para evitar qualquer obstrução ou prejuízo ao processo 
judicial e/ou operação de privilégio legal.
A DPC aconselhou o responsável pelo tratamento dos dados a 
preparar uma lista que documentasse quaisquer itens aos quais 
a organização estivesse a aplicar uma isenção, ao mesmo tempo 
que documentasse a isenção em que se baseava. Ao receber a 
lista, a DPC investigou as isenções utilizadas e procurou a 
organização para demonstrar como havia garantido que a 
restrição era necessária e proporcional. A DPC também procurou 
amostras dos documentos a serem divulgados para que 
pudéssemos analisar como as isenções estavam sendo aplicadas.
Após investigação, a DPC identificou que os documentos 
continham alguns dados pessoais do indivíduo e solicitou ao 
controlador de dados a divulgação dos mesmos com as redações 
pertinentes. Em relação às imagens de CCTV, a DPC afirmou que o 
principal motivo para a captura dos dados foi para fins de 
segurança e não para a defesa de uma ação judicial e, portanto, 
solicitou que as imagens fossem divulgadas ao indivíduo com as 
redações relevantes.
A DPC aceitou que as restantes isenções estavam a ser 
validamente aplicadas conforme previsto na legislação.
Esta reclamação foi identificada como potencialmente suscetível de 
resolução amigável ao abrigo da Secção 109 da Lei de Proteção de Dados de 
2018, tendo tanto o reclamante como o responsável pelo tratamento de 
dados concordado em trabalhar com a DPC para tentar resolver a questão 
amigavelmente.
ESTUDO DE CASO 9
Falha em responder a uma solicitação de acesso
A DPC recebeu uma reclamação de um indivíduo relativamente a 
um pedido de acesso do titular feito por ele a uma organização (o 
responsável pelo tratamento de dados) para obter uma cópia de 
todas as informações detidas relativamente ao seu envolvimento 
com o responsável pelo tratamento de dados. O indivíduo não 
recebeu resposta a esta solicitação. A DPC interveio para ver se o 
assunto poderia ser resolvido informalmente.
os dados pessoais foram fornecidos “num outro formato”. Os 
direitos de acesso à protecção de dados não se referem ao acesso 
aos documentos em si. Tratam-se de acesso a dados pessoais. Um 
pedido de acesso pode ser satisfeito fornecendo ao indivíduo um 
resumo completo dos seus dados de forma inteligível. A forma 
como são fornecidos deve ser suficiente para permitir ao 
requerente tomar conhecimento dos dados pessoais objeto de 
tratamento, verificar a sua exatidão e o seu tratamento lícito. 
Tendo examinado quais osdados que o responsável pelo 
tratamento forneceu neste caso, a DPC contentou-se em informar 
o queixoso de que lhe tinham sido fornecidos todos os dados a 
que tinha direito ao abrigo da legislação de protecção de dados.
O queixoso não ficou particularmente satisfeito com o facto de 
determinados documentos não terem sido fornecidos em resposta 
ao seu pedido de acesso. A posição do responsável pelo tratamento 
dos dados foi que os documentos não foram fornecidos como
ACESSE q UEST RECLAMAÇÕES 13
ESTUDO DE CASO 10
Falha em responder a uma solicitação de acesso (II)
A DPC recebeu uma reclamação de um indivíduo relativamente a 
um pedido de acesso feito por ela a um estabelecimento de 
serviços (o responsável pelo tratamento de dados) para obter 
uma cópia de imagens de CCTV relativas à sua visita às 
instalações do responsável pelo tratamento de dados numa 
determinada data. O indivíduo não recebeu resposta a esta 
solicitação. Esta DPC interveio para ver se o assunto poderia ser 
resolvido informalmente.
portanto, não estava em condições de fornecer as imagens de CCTV 
solicitadas, uma vez que já tinham decorrido mais de 14 dias. Depois de 
examinar a questão minuciosamente, ficou evidente para este gabinete que 
o responsável pelo tratamento de dados violou o artigo 12.º, n.º 3, do RGPD, 
uma vez que os responsáveis pelo tratamento têm a obrigação de fornecer 
uma resposta ao pedido de acesso do titular do indivíduo dentro do prazo 
legal estabelecido no artigo 12.º do GDPR, mesmo quando o responsável 
pelo tratamento não estiver na posse de tais dados. A falha do controlador 
de dados em monitorar a caixa de entrada associada ao endereço de e-mail 
em sua Política de Privacidade resultou na falha em proteger as imagens de 
CFTV relevantes antes de serem excluídas, de acordo com sua política de 
retenção. A respeito disso, a falta de medidas organizacionais relevantes 
resultou na incapacidade do responsável pelo tratamento de dados de 
atender à solicitação de acesso do titular. A DPC emitiu instruções ao 
responsável pelo tratamento lembrando - o da sua obrigação de monitorizar 
qualquer caixa de correio electrónico que forneça para os pedidos dos 
titulares dos dados . A DPC tomará medidas coercivas se ocorrer uma 
repetição deste problema com o mesmo controlador.
No momento em que a DPC recebeu a reclamação, constatou-se que o 
responsável pelo tratamento já não possuía qualquer informação relativa 
a ela, uma vez que não tinha conhecimento do pedido de acesso até que 
este foi levado ao seu conhecimento por este gabinete. Isto porque o 
endereço de correio eletrónico para o qual foi enviado o pedido de acesso 
não era um endereço de utilização regular, apesar de ser o endereço de 
correio eletrónico constante da Política de Privacidade do responsável 
pelo tratamento de dados. O responsável pelo tratamento afirmou ainda 
que as imagens CCTV são retidas durante 14 dias devido à capacidade de 
armazenamento do sistema e
ESTUDO DE CASO 11
Falha em responder integralmente a uma solicitação de acesso
Esta reclamação dizia respeito a um pedido de acesso apresentado 
pelo queixoso. O queixoso não ficou satisfeito porque o seu pedido 
de acesso a uma cópia de qualquer informação mantida sobre o 
queixoso pelo responsável pelo tratamento dos dados, em formato 
eletrónico e manual, foi recusado pelo responsável pelo tratamento 
dos dados, um Conselho do Condado. Em vez disso, o responsável 
pelo tratamento informou o reclamante de que os ficheiros 
solicitados estavam disponíveis em linha ou para visualização nas 
instalações do responsável pelo tratamento.
citações citadas pelo reclamante no pedido de acesso do 
reclamante. Assim, o responsável pelo tratamento procurou 
distinguir entre os dados pessoais relativos aos ficheiros de 
planeamento disponíveis ao público, que foram fornecidos ao 
queixoso numa visualização pública, e os dados pessoais criados 
na sequência da recusa do pedido de planeamento do queixoso, 
que o responsável pelo tratamento considerou ser fora do escopo 
da solicitação de acesso.
Embora o queixoso tenha mencionado duas aplicações de 
planeamento específicas, o pedido de acesso foi expresso em termos 
gerais e solicitava acesso a “qualquer informação que guarde sobre 
mim por via electrónica ou em formato manual”. Assim, considerou-se 
que os dados pessoais solicitados pelo reclamante incluíam todos os 
dados que surgiram no contexto do envolvimento do reclamante com 
o responsável pelo tratamento de dados antes da apresentação dos 
dois pedidos de planeamento identificados e todos os dados que 
surgiram após a recusa desses pedidos.
Durante o decurso da investigação desta queixa, o queixoso alegou 
que os ficheiros disponibilizados ao queixoso pelo responsável pelo 
tratamento dos dados nas suas instalações não constituíam todos 
os dados pessoais relativos ao queixoso que estavam na posse do 
responsável pelo tratamento dos dados.
No entanto, o responsável pelo tratamento dos dados considerou que o 
pedido de acesso apresentado pelo queixoso se limitava aos dados pessoais 
detidos em relação a duas aplicações de planeamento, devido aos números 
de referência da aplicação de planeamento.
O responsável pelo tratamento, devido às circunstâncias específicas do caso, 
violou as suas obrigações em matéria de protecção de dados quando
14 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
não forneceu ao reclamante uma cópia completa dos dados pessoais 
do reclamante em resposta ao pedido de acesso dentro do prazo 
legal. Nos termos do RGPD, o artigo 15.º refere-se ao direito de acesso 
dos titulares dos dados aos dados pessoais que lhes digam respeito e 
que sejam titulares pelo responsável pelo tratamento. O artigo 12.º, 
n.º 3, estabelece a condição sob a qual um
o responsável pelo tratamento deverá fornecer os referidos dados 
pessoais. Cabe ao responsável pelo tratamento o ónus de fornecer 
informações sobre as medidas tomadas no âmbito de tal pedido, sem 
demora injustificada e, em qualquer caso, no prazo de um mês a contar da 
recepção do pedido. Existem também condições previstas neste artigo que 
prevêem a prorrogação deste prazo.
ESTUDO DE CASO 12
Acesso a imagens de CFTV
Esta reclamação dizia respeito a uma alegada resposta 
incompleta a um pedido de acesso de titular para
Imagens de CFTV feitas pelo reclamante para uma 
instituição de ensino. O denunciante informou que 
eles foram vítimas de uma suposta tentativa de 
agressão. O queixoso solicitou acesso a
Imagens de CCTV do momento em que ocorreu a alegada 
agressão, em particular em relação a um período de tempo 
específico identificado a partir de dois ângulos de câmara 
diferentes.
mês) . O direito de acesso aos dados pessoais é um dos principais 
direitos fundamentais previstos na legislação de protecção de 
dados. No contexto dos pedidos de acesso a imagens CCTV, a 
obrigação do responsável pelo tratamento de fornecer uma cópia 
dos dados pessoais do requerente exige normalmente o 
fornecimento de uma cópia das imagens CCTV em formato de 
vídeo. Quando isso não for possível, como quando a filmagem for 
tecnicamente incapaz de ser copiada para outro dispositivo, ou 
em outras circunstâncias excepcionais, poderá ser aceitável 
fornecer ao titular dos dados imagens estáticas como alternativa 
às filmagens de vídeo. No entanto, nas circunstâncias em que são 
fornecidas imagens fixas, o responsável pelo tratamento deve 
fornecer ao titular dos dados uma imagem fixa para cada 
segundo da gravação em que a imagem do titular dos dados 
aparece e uma explicação do motivo pelo qual a filmagem não 
pode ser fornecida em formato de vídeo.
à medida que o solicitante confirma que está satisfeito com a 
resposta fornecida.
Em resposta ao pedido da organização, foi fornecido ao queixoso 
um número seleccionado de imagens fixas das imagens CCTV 
relativas a uma câmara. O queixoso solicitou que lhe fosse 
fornecido um quadro porcada segundo da gravação em que a 
imagem do queixoso aparecesse. A resposta recebida da 
instituição de ensino foi que todas as filmagens “significativas”, na 
opinião do controlador, tinham sido fornecidas e como as 
câmaras CCTV estavam num ciclo de gravação de 30 dias, as 
filmagens já tinham sido gravadas. O controlador esclareceu que 
não armazenou nenhuma filmagem, a menos que houvesse uma 
“exigência legal” para fazê-lo.
Dado que o responsável pelo tratamento dos dados não forneceu ao 
reclamante nem as imagens CCTV solicitadas nem um conjunto completo 
de imagens fixas relativas ao período especificado, o responsável pelo 
tratamento dos dados não cumpriu as suas obrigações em relação ao 
direito de acesso, tanto numa perspectiva temporal (artigo 12.º, n.º 3) e 
relativamente ao fornecimento de um conjunto completo e completo de 
dados pessoais tratados pelo responsável pelo tratamento (artigo 15.º).
A DPC observou que, quando um pedido de acesso válido é feito a 
um controlador de dados, o pedido deve ser atendido pelo 
controlador com um determinado prazo. (Nos termos do Artigo 12(3) 
do RGPD, isto é geralmente definido em um
ACESSE q UEST RECLAMAÇÕES 15
ESTUDO DE CASO 13
Obrigação de fundamentar a recusa de 
acesso a dados pessoais
Este queixoso era anteriormente proprietário de um 
imóvel num empreendimento gerido por uma sociedade 
gestora. O queixoso apresentou um pedido de acesso 
aos dados à sociedade gestora, mas considerou que o 
responsável pelo tratamento dos dados não forneceu 
todos os dados pessoais do queixoso na sua resposta.
A DPC também considerou se o responsável pelo tratamento dos 
dados tinha fornecido ao reclamante todos os seus dados pessoais, 
conforme exigido pela legislação. A DPC observou que o queixoso 
forneceu descrições específicas e detalhadas de dados que acreditava 
não terem sido fornecidos. Em resposta, o responsável pelo 
tratamento afirmou que não conservava dados relativos a assuntos 
que considerava encerrados e que tinha fornecido ao reclamante 
todos os seus dados pessoais na posse do responsável pelo 
tratamento à data do pedido de acesso. O gabinete considerou que 
era credível que o responsável pelo tratamento dos dados não 
retivesse os dados pessoais por tempo indeterminado. A DPC 
considerou que o responsável pelo tratamento de dados tinha 
fornecido ao reclamante todos os seus dados pessoais (com exceção 
do documento sobre o qual o responsável pelo tratamento de dados 
reivindicou privilégio legal, conforme estabelecido acima). Por esse 
motivo, não ocorreu mais nenhuma violação da legislação.
A sociedade gestora foi determinada como responsável pelo 
tratamento dos dados, uma vez que controlava o conteúdo e a 
utilização dos dados pessoais do reclamante para efeitos da sua função 
de sociedade gestora relativamente a um empreendimento no qual o 
reclamante era proprietário de um imóvel. Os dados em questão 
consistiam (entre outros) no nome e endereço do reclamante. Os 
dados eram dados pessoais, uma vez que o reclamante podia ser 
identificado a partir deles e estavam relacionados com o reclamante 
enquanto indivíduo.
Nos termos do artigo 15.º do RGPD, o titular dos dados tem o direito de 
obter de um responsável pelo tratamento o acesso aos dados pessoais que 
lhe digam respeito e que estejam a ser tratados. No entanto, este direito não 
se aplica aos dados pessoais tratados para efeitos de procura, recepção ou 
prestação de aconselhamento jurídico, nem aos dados pessoais 
relativamente aos quais possa ser feita uma reivindicação de privilégio para 
efeitos de ou no decurso de um processo judicial ( Seção 60(3)(a)(iv) da Lei de 
Proteção de Dados de 2018). No entanto, quando um responsável pelo 
tratamento de dados se recusa a atender a um pedido de acesso a dados 
pessoais, é obrigado, nos termos do artigo 12.º do RGPD, a informar sem 
demora o titular dos dados sobre os motivos dessa recusa.
Durante o exame da reclamação pela DPC, o responsável pelo 
tratamento forneceu a descrição de um documento contendo os 
dados pessoais do reclamante que estavam sendo retidos com 
base no fato de serem legalmente privilegiados. Este documento 
não foi mencionado na resposta do responsável pelo tratamento 
ao pedido de acesso do queixoso. Observou-se que o 
responsável pelo tratamento dos dados deveria ter-se referido a 
este documento e ao(s) motivo(s) pelo qual se recusou a fornecer 
o documento ao queixoso na sua resposta ao pedido de acesso 
do queixoso.
ESTUDO DE CASO 14
Expressões confidenciais de opinião e 
solicitações de acesso ao assunto
Este reclamante fez um pedido de acesso do titular dos 
dados ao seu empregador. No entanto, o queixoso 
alegou que o seu empregador omitiu certas 
comunicações da sua resposta, reteve indevidamente 
dados com base no facto de constituírem uma opinião 
dada confidencialmente e não respondeu ao pedido 
dentro do prazo exigido, conforme estabelecido na 
legislação.
O empregador do reclamante era o responsável pelo tratamento 
dos dados, uma vez que controlava o conteúdo e a utilização dos 
dados pessoais do reclamante para efeitos de gestão do 
emprego do reclamante. Os dados em questão consistiam no 
ficheiro RH do queixoso e nos dados relativos à administração 
do emprego do queixoso. Os dados eram dados pessoais porque 
o reclamante podia ser identificado a partir deles e os dados 
diziam respeito ao reclamante como indivíduo.
16 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
Durante a análise da reclamação, o responsável pelo 
tratamento identificou documentos adicionais contendo os 
dados pessoais do reclamante e forneceu-os ao reclamante. 
Em relação ao documento, que o responsável pelo tratamento 
afirmou constituir uma opinião dada confidencialmente, no 
decurso da investigação desta reclamação, a pessoa que 
manifestou a opinião em questão consentiu na divulgação do 
documento ao reclamante, e portanto, o documento foi 
fornecido pelo responsável pelo tratamento dos dados ao 
reclamante.
Os documentos fornecidos pelo responsável pelo 
tratamento ao reclamante no decurso da análise desta 
reclamação deveriam ter sido fornecidos ao reclamante 
no prazo previsto na legislação.
Nos termos do artigo 15.º do RGPD, o titular dos dados tem o direito 
de obter de um responsável pelo tratamento o acesso aos dados 
pessoais que lhe digam respeito e que estejam a ser tratados. O 
responsável pelo tratamento dos dados deve responder a um pedido 
de acesso do titular dos dados sem demora injustificada e, em 
qualquer caso, no prazo de um mês a contar da recepção do pedido. 
No entanto, a secção 60 da Lei de Protecção de Dados de 2018 prevê 
que o direito de acesso aos dados pessoais não se estende aos dados 
que consistem na expressão de opinião sobre o titular dos dados por 
outra pessoa, dada em sigilo ou no entendimento de que seriam 
tratados como confidenciais para uma pessoa que tenha um 
interesse legítimo em receber as informações.
A legislação de proteção de dados prevê o direito de acesso do 
titular dos dados aos seus dados pessoais e, além disso, esse 
acesso deve ser concedido dentro de um determinado prazo. 
Depois de investigar a reclamação, a DPC concluiu que o 
responsável pelo tratamento dos dados realizou as pesquisas 
adequadas e forneceu ao reclamante todos os dados pessoais que 
o reclamante tinha legalmente direito a receber.
ESTUDO DE CASO 15
Solicitações de acesso e material legalmente privilegiado
Esta reclamação dizia respeito a uma alegada resposta 
incompleta a um pedido de acesso de um titular de dados.
O pano de fundo desta queixa era que o queixoso tinha 
apresentado um pedido de acesso aos administradores 
de um regime de pensões (os “administradores”). Como 
parte da sua resposta ao pedido de acesso, os 
Administradores referiram-se a um projecto de carta 
relativa ao queixoso; no entanto, este projecto de carta 
não foi fornecido ao queixoso.
Foi decidido, portanto, que o responsável pelotratamento dos 
dados não tinha conseguido estabelecer o direito de invocar a 
isenção no que diz respeito a dados legalmente privilegiados. 
Assim, a carta deveria ter sido entregue ao queixoso em resposta 
ao seu pedido de acesso dentro do prazo estabelecido na 
legislação.
Nos termos do artigo 15.º do RGPD, o titular dos dados tem o 
direito de obter de um responsável pelo tratamento o acesso aos 
dados pessoais que lhe digam respeito e que estejam a ser 
tratados. O responsável pelo tratamento dos dados deve 
responder a um pedido de acesso do titular dos dados sem 
demora injustificada e, em qualquer caso, no prazo de um mês a 
contar da recepção do pedido. No entanto, o direito de acesso aos 
seus dados pessoais não se aplica aos dados pessoais tratados 
com a finalidade de procurar, receber ou prestar aconselhamento 
jurídico ou aos dados pessoais em relação aos quais possa ser 
feita uma reivindicação de privilégio para efeitos de ou no decurso 
de processos judiciais. Quando um responsável pelo tratamento 
de dados procurar reivindicar privilégio sobre as informações 
solicitadas por um titular de dados nos termos do artigo 15.º, a 
DPC, ao examinar uma reclamação relativa à recusa, exigirá que o 
responsável pelo tratamento de dados forneça informações 
consideráveis,
Foi estabelecido que os Administradores eram os responsáveis 
pelo tratamento dos dados, uma vez que controlavam o conteúdo 
e a utilização dos dados pessoais do queixoso para efeitos da 
pensão do queixoso. Os dados em questão consistiam (entre 
outras coisas) em informações sobre o emprego e a pensão do 
queixoso e eram dados pessoais porque diziam respeito ao 
queixoso enquanto indivíduo e o queixoso podia ser identificado a 
partir deles.
O responsável pelo tratamento dos dados tentou argumentar que o projecto 
de carta era legalmente privilegiado e que, portanto, o responsável pelo 
tratamento dos dados não era obrigado a fornecê-lo ao queixoso. A DPC 
solicitou mais informações ao responsável pelo tratamento dos dados 
relativamente à reivindicação de privilégio legal sobre o projecto de carta. 
Em resposta, o responsável pelo tratamento dos dados não esclareceu a 
base sobre a qual o privilégio foi reivindicado sobre o projeto de carta, mas 
concordou em fornecer os dados ao queixoso.
ACESSE q UEST RECLAMAÇÕES 17
ESTUDO DE CASO 16
Processamento no contexto de uma investigação no local de trabalho
O queixoso esteve envolvido numa investigação 
no local de trabalho decorrente de alegações 
feitas pelo queixoso contra um colega.
O empregador do queixoso nomeou uma empresa de 
consultoria independente (a “empresa de consultoria”) 
para realizar a investigação e as conclusões da 
empresa de consultoria foram sujeitas a revisão por 
um painel independente.
alegado queixoso não tivesse sido recebido, o responsável pelo 
tratamento dos dados indicou que, se o queixoso pudesse 
especificar detalhes desses documentos, consideraria mais 
detalhadamente a alegação do queixoso.
No que diz respeito à reclamação de que o responsável pelo tratamento de 
dados divulgou detalhes do desempenho profissional do reclamante aos 
colegas do reclamante, o responsável pelo tratamento de dados 
argumentou que o desempenho do reclamante teria sido discutido com os 
gestores do reclamante e, portanto, foi divulgado por razões comerciais 
legítimas. No que diz respeito à reclamação sobre a divulgação de detalhes 
relativos à licença médica do reclamante, o responsável pelo tratamento 
dos dados observou que não tinha conhecimento de tal divulgação. Por 
último, em relação à alegação de que os recibos de vencimento do queixoso 
foram divulgados, o responsável pelo tratamento dos dados argumentou 
que os mesmos foram fornecidos a um funcionário do responsável pelo 
tratamento dos dados para serem revistos no contexto de um caso 
separado apresentado pelo queixoso.
Após a conclusão da investigação no local de trabalho, o 
queixoso apresentou um pedido de acesso aos dados ao 
seu empregador e foram fornecidos vários documentos 
em resposta a este pedido. Contudo, o queixoso 
considerou que o pedido não foi totalmente respondido. 
Por exemplo, o queixoso alegou que os depoimentos das 
testemunhas (recolhidos durante a investigação) que 
foram fornecidos ao queixoso eram factualmente 
incorretos e que determinados documentos não foram 
fornecidos ao queixoso (tais como registos de acesso aos 
ficheiros pessoais do queixoso). O queixoso alegou ainda 
que o seu empregador tinha divulgado detalhes do 
desempenho profissional do queixoso, planos de licença 
por doença e cópias dos recibos de vencimento do 
queixoso aos colegas do queixoso. Finalmente,
O queixoso também apresentou um pedido de rectificação dos 
depoimentos das testemunhas, que o queixoso alegou serem factualmente 
incorrectos. No entanto, o responsável pelo tratamento dos dados informou 
que o que foi registado nos depoimentos das testemunhas representava as 
opiniões das pessoas envolvidas e, com base nisso, recusou-se a alterar os 
depoimentos das testemunhas.
A DPC considerou que havia cinco questões a serem examinadas 
por ela em relação à denúncia. A opinião da DPC sobre cada uma 
destas questões está resumida abaixo (nos títulos que 
representam cada uma das cinco questões).Foi estabelecido que o empregador do reclamante era o responsável 
pelo tratamento dos dados, uma vez que controlava os dados do 
reclamante no contexto da investigação no local de trabalho. Os 
dados em questão consistiam em informações sobre a folha de 
pagamento do queixoso, informações relativas à licença médica do 
queixoso e depoimentos de testemunhas relativos ao queixoso. Os 
dados eram dados pessoais porque se referiam ao reclamante como 
indivíduo e o reclamante podia ser identificado a partir deles.
Solicitação de acesso
A DPC notou que o queixoso tinha feito um pedido de acesso 
válido. No entanto, tendo considerado a questão, no final das 
contas, a DPC considerou que não havia provas disponíveis que 
sugerissem que o responsável pelo tratamento dos dados reteve 
ilegalmente informações. A DPC observou, no entanto, que o 
pedido de acesso aos dados do queixoso não foi atendido no 
prazo exigido pela legislação. A este respeito, o responsável pelo 
tratamento dos dados cometeu uma violação da proteção de 
dados.
Em resposta à alegação do queixoso de que o seu pedido de acesso 
não foi respondido integralmente, o responsável pelo tratamento de 
dados afirmou que, em relação aos depoimentos das testemunhas, o 
queixoso recebeu as cópias dos depoimentos originais das 
testemunhas que se encontravam no processo do queixoso. Em 
relação aos registos de acesso, o responsável pelo tratamento 
considerou que estes não constituíam dados pessoais (porque 
rastreavam o movimento digital de outros funcionários nos sistemas 
informáticos do responsável pelo tratamento).
Em relação a outros documentos diversos que o
Nos termos do artigo 12.º, n.º 3, do RGPD, o titular dos dados tem o direito 
de obter do responsável pelo tratamento o acesso aos dados pessoais que 
lhe digam respeito e que estejam a ser tratados. O responsável pelo 
tratamento dos dados deve responder a um pedido de acesso do titular sem 
demora injustificada e, em qualquer caso, no prazo de um mês a contar da 
recepção do pedido.
18 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
Suposta divulgação não autorizada 
dos dados pessoais do reclamante
outro destinatário, os responsáveis pelo tratamento dos dados devem informar 
o titular dos dados quando os dados pessoais forem divulgados pela primeira vez 
pelo destinatário ou categorias de destinatários dos dados pessoais.
Os controladores devem ter uma base legal, de acordo com a 
legislação de proteção de dados, para processar dados pessoais, 
incluindo a divulgação desses dados a terceiros. Em relação à 
divulgação de detalhes relativos ao desempenho profissional do 
queixoso, a DPC considerou que tal tratamento era lícito,uma vez 
que ocorria por razões comerciais legítimas. Quanto à questão da 
divulgação dos detalhes das licenças médicas, a DPC concluiu que 
não tinha informações suficientes relativas ao alegado incidente 
para determinar se ocorreu uma violação da legislação. Em 
relação à divulgação dos recibos de vencimento do queixoso, a 
DPC considerou que a divulgação era legal. Isto deveu-se ao facto 
de os recibos de vencimento terem sido divulgados para ajudar o 
responsável pelo tratamento dos dados na defesa de um processo 
judicial separado apresentado pelo reclamante contra ele.
Direito à retificação
Nos termos da legislação de Proteção de Dados, existe o direito à 
retificação de dados pessoais incorretos. No entanto, aqui o 
responsável pelo tratamento dos dados confirmou que o que foi 
registado nos depoimentos das testemunhas representava as opiniões 
das pessoas envolvidas. Considerou-se que quando uma opinião é 
correctamente registada e quando a opinião se baseia objectivamente 
em questões que a pessoa que deu a opinião teria razoavelmente 
acreditado serem verdadeiras, o direito à rectificação não se aplica.
Nos termos do artigo 5.º do RGPD, os dados pessoais 
tratados devem ser exatos e, sempre que necessário, 
mantidos atualizados e os responsáveis pelo tratamento 
dos dados são obrigados a garantir que são tomadas 
todas as medidas razoáveis para garantir que os dados 
pessoais imprecisos, tendo em conta a finalidade para os 
quais são processados, são apagados ou retificados sem 
demora. Nos termos do artigo 16.º do RGPD, o titular dos 
dados tem o direito de obter de um responsável pelo 
tratamento, sem demora injustificada, a retificação dos 
dados pessoais inexatos que lhe digam respeito. No 
entanto, de acordo com a seção 60 da Lei de Proteção de 
Dados de 2018,
Nos termos do artigo 6.º do RGPD, o responsável pelo tratamento de 
dados é obrigado a ter uma base jurídica para processar (incluindo 
divulgar) quaisquer dados pessoais. As bases jurídicas disponíveis para 
o tratamento incluem (a) que o titular dos dados deu consentimento, 
(b) que o tratamento é necessário para a execução de um contrato do 
qual o titular dos dados é parte, (c) que o tratamento é necessário para 
cumprimento de uma obrigação legal a que o responsável pelo 
tratamento de dados esteja sujeito, (d)
que o tratamento é necessário para proteger os interesses vitais 
de um indivíduo, (e) que o tratamento é necessário para o 
desempenho de uma tarefa realizada no interesse público, ou (f) 
que o tratamento é necessário para fins de interesses legítimos 
prosseguidos pelo responsável pelo tratamento dos dados ou 
por terceiros.
Conservação dos dados pessoais 
do reclamanteProcessamento justo
Existe uma obrigação dos responsáveis pelo tratamento de tratarem 
os dados pessoais de forma justa. No decurso da sua investigação, a 
DPC solicitou ao responsável pelo tratamento que confirmasse como 
cumpriu as suas obrigações de tratar os dados do reclamante de 
forma justa, em relação a cada uma das alegadas divulgações dos 
dados pessoais do reclamante. O responsável pelo tratamento não 
forneceu as informações exigidas e, nestas circunstâncias, a DPC 
considerou que o responsável pelo tratamento não procedeu ao 
tratamento dos dados do reclamante, em conformidade com as 
obrigações de tratamento leal.
A DPC solicitou ao responsável pelo tratamento de dados que 
delineasse a base jurídica para a retenção (ou seja, processamento) 
dos dados pessoais do reclamante relacionados com a investigação no 
local de trabalho. O responsável pelo tratamento dos dados informou 
que estes dados estavam a ser retidos para lidar com os pedidos e 
recursos do reclamante ao abrigo de vários processos legais. Nesta 
base, a DPC considerou que a retenção dos dados pessoais do 
queixoso era legal, uma vez que o era por razões comerciais legítimas.
Nos termos do RGPD, o responsável pelo tratamento de dados não só deve 
ter uma base legal para obter inicialmente os dados pessoais de um 
indivíduo, mas também deve ter uma base jurídica contínua para a retenção 
desses dados, em conformidade com o artigo 6.º, conforme estabelecido 
acima. Nos termos do artigo 5.º, n.º 1, alínea e), do RGPD, os dados pessoais 
que se encontrem num formato que permita a identificação dos titulares 
dos dados não devem ser conservados durante o período necessário para os 
fins para os quais são tratados.
Nos termos do RGPD, os dados pessoais devem ser tratados de 
forma lícita, leal e transparente em relação ao titular dos dados. 
Este princípio exige que o titular dos dados receba determinadas 
informações nos termos dos artigos 13.º e 14.º do RGPD 
relativamente à existência da operação de tratamento e às suas 
finalidades. Os titulares dos dados devem ser informados dos 
riscos, regras, salvaguardas e rigores em relação ao tratamento 
dos seus dados pessoais. Onde os dados pessoais podem ser 
legitimamente divulgados a
ACESSE q UEST RECLAMAÇÕES 19
ESTUDO DE CASO 17
Base jurídica para o processamento e segurança do processamento
Um titular de dados apresentou uma reclamação à DPC 
contra um responsável pelo tratamento de dados na 
sequência de um atraso na resposta a um pedido de acesso 
do titular. O titular dos dados estava preocupado com o 
tratamento dos seus dados pessoais entre o responsável 
pelo tratamento e um terceiro, um investigador de RH 
(investigador). Tais preocupações diziam respeito à base 
jurídica para o tratamento dos dados pessoais do titular dos 
dados e à segurança do tratamento dos dados pessoais, uma 
vez que o investigador utilizou uma conta Gmail durante o 
exame.
contrato. O titular dos dados também manifestou preocupações em 
matéria de transparência, uma vez que, ao assinar o contrato de trabalho, 
não teria previsto o tratamento dos seus dados pessoais por um 
investigador. Quando questionado sobre a utilização de uma conta Gmail 
pelo investigador, o responsável pelo tratamento dos dados afirmou que o 
e-mail seria encriptado entre o responsável pelo tratamento dos dados e a 
conta do Gmail e que não havia provas disponíveis de que os dados 
pessoais do titular dos dados tivessem sido comprometidos.
Durante a análise da queixa, surgiu a questão de saber se 
o investigador era um responsável conjunto pelo 
tratamento ou um subcontratante. O titular dos dados 
considerou que o investigador era um processador de 
dados, enquanto o responsável pelo tratamento afirmou 
que o investigador era um responsável pelo tratamento de 
dados por direito próprio e, como resultado, não havia 
requisitos nos termos do artigo 28.º do RGPD. A DPC 
examinou os factos desta queixa e estabeleceu que o 
investigador recebeu uma lista de indivíduos a entrevistar 
para compilar este relatório e, a partir dos termos de 
referência, as entrevistas são listadas como o principal 
meio de recolha de informações para compilar o seu 
relatório. A DPC também observou que o investigador 
estava impedido de decidir ou implementar qualquer 
sanção resultante das conclusões do relatório. Com base 
nessas informações,
O titular dos dados exerceu o seu direito ao abrigo do artigo 15.º do 
Regulamento Geral de Proteção de Dados (RGPD) ao solicitar o acesso 
aos seus dados pessoais. No entanto, não receberam resposta ao seu 
pedido no prazo de um mês, conforme exigido pelo artigo 12.º, n.º 3, 
do RGPD. Após um período de dois meses e ainda sem resposta, o 
titular dos dados informou ao responsável pelo tratamento que seria 
apresentada uma reclamação à DPC. Na sequência da intervenção da 
DPC, o responsável pelo tratamento forneceu os dados pessoais 
relevantes para o pedido de acesso do titular e explicou que o atraso 
se devia a um erro técnico no sistema de correio eletrónico. Nesta fase, 
o titular dos dados ficou satisfeito por ter recebido todos os dados 
pessoais solicitados, bem como alguns dados adicionais. Estes dados 
não estavam relacionados com o titular dos dados e não foramredigidos.
Após análise dos dados pessoais recebidos, o titular dos dados manifestou 
preocupações em relação ao tratamento dos seus dados pessoais entre o 
responsável pelo tratamento dos dados e o investigador. Como parte da sua 
análise, a DPC conversou com o responsável pelo tratamento sobre esta 
questão. O responsável pelo tratamento de dados citou a secção 46 da Lei de 
Proteção de Dados de 2018 (a Lei de 2018) e os artigos 6.º, n.º 1, alínea c) e 
artigo 9.º, n.º 2, alínea b), como base legal para o tratamento dos dados 
pessoais. Além disso, o titular dos dados era de facto um funcionário, pelo 
que o responsável pelo tratamento destacou as suas obrigações legais ao 
abrigo da Lei de Segurança, Saúde e Bem-Estar no Trabalho de 2005, 
conforme estabelecido no seu Manual do Funcionário. O titular dos dados 
contestou esta base legal porque não foi previamente informado disso.
Devido ao incumprimento por parte do responsável pelo 
tratamento dos dados da obrigação de um mês nos 
termos do artigo 12.º, n.º 3, do RGPD, o DPC lembrou ao 
responsável pelo tratamento dos dados as suas 
obrigações nos termos do artigo 24.º de implementar 
medidas técnicas e organizacionais adequadas para 
garantir a conformidade com o GDPR. Ao fazê-lo, o 
responsável pelo tratamento dos dados também deve 
garantir que apenas fornece dados pessoais relevantes 
para o pedido de acesso do titular em questão e ocultar 
os dados pessoais de terceiros. Em segundo lugar, no que 
diz respeito à base legal invocada pelo responsável pelo 
tratamento dos dados, a DPC considerou que essa base 
legal era razoável; no entanto, recomenda-se que 
informem os membros do pessoal nas suas políticas de 
proteção de dados do pessoal que podem basear-se na 
secção 46 da Lei de 2018 e nos artigos 6(1)(c) e 9(2)(b) do 
RGPD para o tratamento de dados pessoais do pessoal . 
Além disso,
No que diz respeito ao investigador, o titular dos dados explicou que não foi 
solicitado qualquer consentimento para o tratamento dos dados pessoais 
entre o responsável pelo tratamento e o investigador. O responsável pelo 
tratamento explicou que o consentimento não era a única base legal ao 
abrigo do RGPD e declarou o artigo 6.º, n.º 1, alínea b), como a sua base 
legal. O titular dos dados contestou esta base legal afirmando que o 
tratamento de dados pessoais pelo investigador não era necessário para o 
cumprimento do contrato de trabalho
20 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 18
Acesso a informações relativas à avaliação de crédito de um banco
O queixoso nesta reclamação fez um pedido a um banco 
ao abrigo da legislação de protecção de dados para 
fornecer ao queixoso uma cópia de todos os dados 
pessoais que lhe dizem respeito na posse do banco. O 
queixoso alegou, em particular, que o banco não lhes 
tinha fornecido quaisquer análises internas que 
utilizassem os dados pessoais do queixoso para avaliar o 
montante do crédito que o banco lhes concederia.
Este gabinete considerou as explicações fornecidas pelo banco e 
considerou que o valor do rendimento líquido disponível do 
reclamante e o âmbito do crédito constituíam dados pessoais 
relativos ao reclamante, uma vez que o reclamante podia ser 
identificado a partir dos detalhes e se relacionavam com o 
reclamante como indivíduo. Além disso, como o banco não tinha 
identificado uma exceção relevante ao abrigo da legislação de 
proteção de dados sobre a qual pudesse reter estes dados ao 
reclamante, este gabinete considerou que o banco não cumpriu 
o pedido do reclamante de acesso aos seus dados. No entanto, 
este gabinete concordou que os modelos de pontuação de 
crédito utilizados pelo banco no seu processo de avaliação de 
crédito não eram dados pessoais relativos ao reclamante e que, 
como tal, o reclamante não tinha direito a uma cópia desta 
informação.
Este gabinete estabeleceu que o banco foi identificado como o 
responsável pelo tratamento de dados relevante em relação à 
reclamação, uma vez que controlava os dados pessoais, que o 
reclamante forneceu ao banco ao fazer um pedido de empréstimo. Os 
dados em questão eram dados pessoais relativos ao reclamante 
(consistindo, entre outras coisas, num formulário de pedido de 
empréstimo preenchido e documentação comprovativa), uma vez que 
o reclamante poderia ser identificado a partir dele e os dados 
relacionados com o reclamante como indivíduo. Este escritório ficou, 
portanto, convencido de que a queixa deveria ser investigada para 
determinar se havia ocorrido uma violação da legislação de proteção 
de dados.
Por último, este gabinete considerou que o banco violou 
ainda mais as suas obrigações ao abrigo da legislação de 
protecção de dados ao não responder ao pedido feito pelo 
queixoso dentro do prazo legal aplicável.
Nos termos do artigo 15.º do RGPD, os titulares dos dados têm o 
direito de obter dos responsáveis pelo tratamento a confirmação se 
os dados pessoais que lhes dizem respeito estão ou não a ser tratados 
e, se for o caso, o acesso a esses dados pessoais. Este direito estende-
se apenas aos dados pessoais do titular dos dados, ou seja, qualquer 
informação relativa a esse titular dos dados pela qual o titular dos 
dados seja identificado ou identificável. O responsável pelo tratamento 
dos dados deve responder a um pedido de acesso do titular dos dados 
sem demora injustificada e, em qualquer caso, no prazo de um mês a 
contar da recepção do pedido. No entanto, o direito de acesso aos 
dados pessoais está sujeito a uma série de exceções ao abrigo do 
RGPD e da Lei de Proteção de Dados de 2018 (em particular, secções 59 
a 61), tais como quando o cumprimento do pedido de acesso afetaria 
negativamente os direitos e liberdades dos outros.
Durante o curso da investigação desta reclamação, este escritório 
conversou com o banco sobre a natureza de quaisquer dados 
pessoais aos quais o reclamante pudesse ter direito. O banco 
considerou que o queixoso não tinha direito a detalhes da sua 
análise e algoritmos internos ou a quaisquer limites de decisão 
internos nos quais baseasse a sua decisão de empréstimo, uma 
vez que, na opinião do banco, esta informação não era dados 
pessoais e, em Além disso, era sensível ao mercado e era 
propriedade intelectual do banco. Em particular, o banco não 
forneceu ao reclamante detalhes sobre a pontuação de crédito do 
reclamante ou o cálculo do banco do rendimento líquido 
disponível do reclamante, que fazem parte dos seus critérios de 
avaliação de crédito.
ACESSE q UEST RECLAMAÇÕES 21
ESTUDO DE CASO 19
Divulgação, retirada de consentimento
para processamento e solicitação de acesso do assunto
Um titular de dados apresentou uma reclamação à Comissão de Proteção 
de Dados (DPC) contra o seu antigo empregador (o responsável pelo 
tratamento dos dados). O titular dos dados tinha uma série de 
preocupações em matéria de proteção de dados, nomeadamente:
Nos termos do artigo 17.º do RGPD, o titular dos dados solicitou a remoção 
da sua imagem dos meios de comunicação social do responsável pelo 
tratamento de dados sem demora injustificada. O titular dos dados retirou o 
seu consentimento para o tratamento dos seus dados pessoais nos termos 
do artigo 17.º, n.º 1, alínea b), do RGPD. O controlador de dados realizou 
uma pesquisa em suas redes sociais e removeu todas as postagens que 
identificassem o titular dos dados. O responsável pelo tratamento dos 
dados informou que, caso terceiros utilizassem essas imagens, o titular dos 
dados teria que enviar um pedido de apagamento diretamente a essas 
organizações.
1. A divulgação do seu endereço de e-mail pessoal em um e-mail 
de grupo, sendo incluído no campo Carbon Copy (CC),
2. A inclusão da sua imagem nas redes sociais dos responsáveis pelo 
tratamento dos dados, O titular dos dados também fez um pedido de acesso ao titular nos termos 
do artigo 15.º do RGPD ao responsável pelo tratamento dos dados. O 
responsável pelo tratamento atendeuao pedido; no entanto, foram 
aplicadas restrições ao abrigo da Secção 162 das Leis de 2018 para restringir 
o acesso do titular dos dados à correspondência entre o responsável pelo 
tratamento dos dados e os seus consultores jurídicos.
Embora a DPC observe que o direito de um indivíduo de acessar 
dados pessoais é um direito fundamental e qualquer restrição 
deve ser interpretada de forma estrita, o requisito de que a 
restrição dos direitos dos titulares dos dados seja necessária e 
proporcional não está contido na seção 162 da Lei de 2018. Agir . 
Assim, nem todos os pedidos de acesso podem ser atendidos e 
com base nas informações fornecidas à DPC, a DPC concluiu que a 
correspondência entre o responsável pelo tratamento e os seus 
consultores jurídicos não deve ser divulgada em resposta a um 
pedido de acesso do titular dos dados.
3. O titular dos dados não ficou satisfeito com a resposta recebida do 
responsável pelo tratamento dos dados relativamente a um pedido de 
acesso do titular.
Em consonância com o exame da reclamação, a DPC contactou o 
responsável pelo tratamento dos dados e partilhou os detalhes da 
reclamação. O responsável pelo tratamento informou à DPC que o 
titular dos dados já havia assinado um acordo de liquidação, que 
renunciava ao seu direito de fazer quaisquer reclamações ou 
reclamações contra a empresa nos termos das Leis de Proteção de 
Dados de 1988, 2003 e 2018. Em resposta, a DPC informou ao 
responsável pelo tratamento de dados que não era parte nesse acordo 
e que a DPC tem a obrigação legal de examinar as reclamações na 
medida apropriada. A execução de qualquer acordo de liquidação é 
uma questão entre o responsável pelo tratamento e o titular dos 
dados. Além do acima exposto, a DPC observou que o responsável pelo 
tratamento de dados não cumpriu as suas obrigações nos termos do 
artigo 12.º, n.º 3, do RGPD, na medida em que os responsáveis pelo 
tratamento de dados devem responder aos pedidos de proteção de dados 
dos titulares dos dados no prazo de um mês após a receção desses 
pedidos. O responsável pelo tratamento de dados deve informar o titular 
dos dados de qualquer prorrogação no prazo de um mês a contar da 
recepção do pedido, juntamente com as razões do atraso. No entanto, 
observou-se que o responsável pelo tratamento prolongou o período de 
resposta do pedido de acesso do titular após decorrido o período inicial 
de um mês.
Em relação à divulgação do endereço de e-mail do titular dos dados 
num e-mail de grupo, o responsável pelo tratamento reconheceu que a 
função Blind Carbon Copy (BCC) deveria ter sido utilizada neste caso. O 
responsável pelo tratamento de dados também informou que este 
incidente foi comunicado à DPC como uma violação ao abrigo do artigo 
33.º do Regulamento Geral de Proteção de Dados (RGPD) e que 
medidas adicionais foram implementadas para evitar a recorrência do 
incidente. O treinamento da equipe foi implementado e o endereço de 
e-mail do titular dos dados foi removido dos endereços de e-mail 
coletados automaticamente em arquivo. A DPC observou que as 
circunstâncias da violação surgiram como resultado de erro humano e 
não foram identificadas como um problema sistémico.
Como tal, nos termos da secção 109(5)(f), o DPC escreveu ao responsável 
pelo tratamento de dados e lembrou-lhe as suas obrigações nos termos do 
artigo 12.º, n.º 3, e do artigo 33.º do RGPD.
22 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 20
Decisão do artigo 60.º relativa ao Airbnb Ireland UC — Resposta atrasada a 
um pedido de acesso e a um pedido de eliminação
Foi apresentada uma reclamação ao Comissário de Berlim 
para a Proteção de Dados e Liberdade de Informação (“DPA de 
Berlim”) contra a Airbnb Ireland UC (“Airbnb”) e foi 
posteriormente transferida para a DPC para ser tratada no seu 
papel de autoridade supervisora principal.
A Airbnb acabou por cumprir o pedido de eliminação do reclamante, 
validando a sua identidade, proporcionando-lhe a opção de iniciar 
sessão na sua conta para verificar a sua identidade, sem necessidade 
de fornecer um documento de identificação. Após intervenção da DPC, 
a Airbnb deu cumprimento ao pedido de acesso do reclamante. 
Concluído o seu inquérito, em 14 de setembro de 2022, a DPC adotou a 
sua decisão relativamente a esta reclamação, em conformidade com o 
artigo 60.º, n.º 7, do RGPD. Na sua decisão, a Comissão de Proteção de 
Dados concluiu que o responsável pelo tratamento de dados, Airbnb 
Ireland UC, violou o Regulamento Geral de Proteção de Dados da 
seguinte forma:
O queixoso alegou que a Airbnb não cumpriu um pedido de 
apagamento e um pedido de acesso subsequente que lhe 
tinha apresentado dentro do prazo legal. Além disso, o 
reclamante afirmou que, quando apresentou o seu pedido de 
apagamento, a Airbnb solicitou que verificassem a sua 
identidade, fornecendo uma fotocópia do seu documento de 
identidade (“ID”), que não tinha fornecido anteriormente à 
Airbnb.
• Artigo 5(1)(c) do RGPD
A DPC concluiu que a exigência da Airbnb de que o reclamante 
verificasse a sua identidade através da apresentação de uma cópia 
do seu documento de identificação com fotografia constituía uma 
violação do princípio da minimização de dados, nos termos do 
artigo 5.º, n.º 1, alínea c), do RGPD. Esta infração ocorreu em 
circunstâncias em que a Airbnb tinha menos soluções baseadas 
em dados para a questão da verificação de identidade;
A DPC tentou inicialmente resolver esta reclamação de forma amigável 
através do seu processo de tratamento de reclamações. No entanto, esses 
esforços não conseguiram garantir uma resolução amigável e o caso foi 
aberto para investigação adicional. As questões a analisar e determinar 
pelo inquérito do DPC foram as seguintes: (i) se a Airbnb tinha uma base 
legal para solicitar uma cópia do documento de identificação do 
reclamante onde tinha apresentado um pedido de apagamento, nos 
termos do artigo 17.º do RGPD, (ii) se o documento de identificação da 
Airbnb o tratamento do referido pedido de eliminação estava em 
conformidade com o RGPD e a Lei de Proteção de Dados de 2018 e (iii) se 
o tratamento do pedido de acesso do reclamante pela Airbnb estava em 
conformidade com o RGPD e a Lei de Proteção de Dados de 2018.
• Artigo 6(1) do RGPD
A DPC concluiu que, nas circunstâncias específicas desta reclamação, 
o interesse legítimo prosseguido pelo responsável pelo tratamento 
não constituía uma base legal válida nos termos do artigo 6.º do RGPD 
para solicitar uma cópia do documento de identificação com 
fotografia do reclamante, a fim de processar o seu pedido de 
apagamento; e
• Artigo 12(3) do RGPD
A DPC concluiu que a Airbnb violou o artigo 12.º, n.º 3, do 
RGPD no que diz respeito ao tratamento do pedido de acesso 
do reclamante. Esta infracção ocorreu quando a Airbnb não 
forneceu ao reclamante informações sobre as medidas 
tomadas relativamente ao seu pedido no prazo de um mês 
após a recepção do pedido de acesso.
A Airbnb respondeu às alegações do reclamante, justificando 
o seu pedido de identificação fotográfica dados os efeitos 
adversos que resultariam de uma eliminação indevida de uma 
conta. A Airbnb destacou que a eliminação fraudulenta de 
uma conta Airbnb pode levar a danos significativos no mundo 
real, incluindo, no caso dos anfitriões, os danos económicos 
através de reservas canceladas e a perda de boa vontade 
acumulada na conta e, no caso dos hóspedes, o potencial 
perda de alojamento durante uma viagem ao estrangeiro. A 
Airbnb afirmou que estes não são riscos triviais e que devem 
ser tomadas medidas adequadas para os resolver. Afirmou 
ainda que o fornecimento de um documento de identificação 
para autenticar um pedido de apagamento é uma prova fiável 
de identificação e que não representa um encargo 
desproporcionado para a pessoa que faz o pedido de 
apagamento.
À luz da extensão das infrações, a DPC emitiu uma repreensão à Airbnb 
Ireland UC, nos termosdo artigo 58.º, n.º 2, alínea b), do RGPD. Além disso, 
a DPC ordenou que a Airbnb Ireland UC, nos termos do artigo 58.º, n.º 2, 
alínea d), revisse as suas políticas e procedimentos internos para lidar com 
pedidos de apagamento, a fim de garantir que os titulares dos dados já 
não sejam obrigados a fornecer uma cópia do documento de identificação 
com fotografia ao efetuarem o apagamento de dados. solicitações, a 
menos que possa demonstrar uma base legal para fazê-lo. A DPC ordenou 
que a Airbnb Ireland UC fornecesse detalhes das suas políticas e 
procedimentos internos revistos à DPC até 4 de novembro de 2022 . A 
Airbnb cumpriu esta ordem no prazo estabelecido.
ACESSE q UEST RECLAMAÇÕES 23
Precisão
ESTUDO DE CASO 21
Direito ao pedido de retificação a um grupo de cuidados de saúde 
(Lei Aplicável — RGPD e Lei de Proteção de Dados de 2018)
Recebemos uma reclamação contra um grupo de saúde 
decorrente da recusa de um pedido de retificação nos 
termos do artigo 16.º do Regulamento Geral de Proteção 
de Dados (RGPD). O queixoso alegou que o grupo de 
cuidados de saúde estava a escrever incorrectamente o 
seu nome no seu sistema informático ao não incluir o 
síneadh fada, um sotaque que faz parte da língua 
irlandesa escrita.
A rede hospitalar e/ou a rede hospitalar mais ampla não apoiam a 
utilização da síneadh fada. O grupo de saúde aconselhou ainda a DPC 
a identificar os pacientes com números de identificação do paciente 
em vez de nomes isolados.
A DPC examinou esta submissão e concluiu que qualquer atualização 
do sistema informático acarretaria custos em termos de custos e 
tempo significativos, juntamente com erros de armazenamento e 
correspondência de registos. A DPC também se envolveu com An 
Coimisinéir Teanga (Regulador da Língua Irlandesa) sobre o seu 
aconselhamento às organizações do sector público no que diz respeito 
aos sistemas informáticos que suportam a síneadh fada. Um 
Coimisinéir Teanga informou que não existe tal obrigação decorrente 
da Lei das Línguas Oficiais de 2003, mas tal obrigação pode surgir de 
um esquema linguístico - um acordo estabelecido entre um órgão 
público e o Ministro da Cultura, do Património e do Gaeltacht.
Os hospitais sob administração deste grupo de saúde utilizam um 
sistema de administração de pacientes (PAS) para registrar 
inicialmente os dados do paciente que são então compartilhados 
com outros sistemas em pontos posteriores de atendimento ao 
paciente, ou seja, laboratório, radiologia e cardiologia. O grupo de 
saúde informou ao reclamante que não é possível gravar o 
síneadh fada porque os caracteres da sintaxe são gravados como 
comandos no PAS, impactando na forma como os dados são 
armazenados e processados. O grupo de saúde informou a 
Comissão de Proteção de Dados (DPC) que o sistema de 
administração de pacientes deverá ser substituído em 2019/2020. 
Porém, o novo sistema do grupo não permitirá a utilização da 
síneadh fada. O grupo de saúde informou à DPC que isto tinha 
como objetivo permitir um ponto de contato único e simplificado 
para informações dos pacientes em diferentes sistemas. Isto 
permitiria aos profissionais aceder a estas informações em 
diferentes unidades de um hospital ou grupo hospitalar sem 
voltar a introduzir os dados posteriormente, evitando assim a 
possibilidade de erros posteriores . Os outros sistemas do atual 
grupo de saúde
A DPC questionou o grupo de saúde sobre a existência de um 
esquema linguístico e obteve uma cópia. Este esquema estabelece 
o respeito pelas escolhas dos pacientes em relação a nomes, 
endereços e idioma de escolha. O esquema também prevê o 
compromisso de atualizar os sistemas informáticos para alcançar 
a “conformidade linguística” . Não há prazo previsto para o 
cumprimento deste compromisso no regime linguístico.
O grupo de saúde informou a DPC que está comprometido com a segurança 
do paciente como uma preocupação primária e central e informou ainda a 
DPC sobre as dificuldades associadas ao compartilhamento e 
armazenamento de informações em outros sistemas
24 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
se atualizaram seu sistema para permitir o uso da síneadh 
fada. Informaram ainda que irão testar a possibilidade de 
utilização do síneadh fada em qualquer atualização do seu 
sistema informático.
e, portanto, o objetivo do processamento está sendo 
alcançado sem o uso de sinais diacríticos.
A DPC também teve em conta quaisquer riscos para o queixoso 
na recusa do seu pedido ao abrigo do artigo 16.º. A DPC observou 
que o risco para o queixoso aumentaria devido às dificuldades 
associadas ao tratamento da síneadh fada entre sistemas e ao 
impacto que isso teria em qualquer tomada de decisão sobre 
cuidados de saúde para o indivíduo. Nestas circunstâncias, a não 
utilização da síneadh fada não constituiria uma interferência nos 
direitos fundamentais do indivíduo.
A DPC teve em conta o artigo 16.º e o artigo 5.º, n.º 1, alínea d), 
do RGPD ao examinar esta reclamação. Ambos os artigos 
estabelecem os direitos dos indivíduos sujeitos às “finalidades do 
tratamento”. O direito à retificação nos termos do artigo 16.º do 
RGPD não é um direito absoluto. As organizações que controlam 
ou processam dados pessoais são obrigadas a tomar medidas 
razoáveis de acordo com as circunstâncias. A DPC teve em conta 
a jurisprudência do Tribunal Europeu dos Direitos Humanos 
sobre direitos linguísticos e/ou nomenclatura. Esta 
jurisprudência reflecte que a grafia dos nomes se enquadra no 
âmbito do artigo 8.º da Convenção Europeia dos Direitos do 
Homem, mas que o Tribunal adopta uma abordagem restritiva a 
este respeito. Como tal, a DPC reiterou que o objectivo do 
processamento nas circunstâncias da queixa era a administração 
de cuidados de saúde ao reclamante e envolvia a utilização de 
números de identificação do paciente. O nome do reclamante 
não foi o meio isolado de identificação
Nos termos da secção 109(5) (f) da Lei de Protecção de Dados de 
2018 (a Lei de 2018), a DPC solicitou ao grupo de saúde que 
informasse o reclamante das suas ações na implementação de 
um sistema informático capaz de refletir a síneadh fada. Além 
disso, a DPC solicitou que o grupo acrescentasse um adendo ao 
arquivo do indivíduo para mostrar que a síneadh fada faz parte 
do nome do indivíduo. A DPC, ao abrigo da secção 109(5)(c) da Lei 
de 2018, avisou o queixoso que poderia contactar An Coimisinéir 
Teanga sobre o esquema linguístico e qualquer violação do 
mesmo.
ESTUDO DE CASO 22
Informações imprecisas mantidas em um sistema bancário
O reclamante, neste caso, possuía uma hipoteca sobre 
uma propriedade com outro indivíduo. O reclamante e o 
outro indivíduo deixaram a propriedade original e 
mudaram-se cada um para endereços separados. Apesar 
de ter conhecimento deste facto, o banco do reclamante 
enviou correspondência relativa à hipoteca do 
reclamante para a antiga morada do reclamante, onde 
foi aberta pelos inquilinos in situ.
dados porque se referiam ao reclamante como indivíduo e o 
reclamante poderia ser identificado a partir deles.
A legislação de proteção de dados, incluindo o GDPR, estabelece 
princípios claros que os controladores de dados devem cumprir ao 
processar os dados pessoais de uma pessoa. De particular relevância 
para esta reivindicação foi a obrigação de garantir que os dados são 
precisos e mantidos atualizados sempre que necessário, e a obrigação 
de implementar medidas de segurança adequadas para proteger os 
dados pessoais.
Ao aplicar estes princípios aos factos desta reclamação, ao manter 
um endereço desatualizado do reclamante e ao enviar 
correspondência do reclamante para esse endereço, o 
responsável pelo tratamento não conseguiu manter atualizados 
os dados pessoais do reclamante (artigo 5.º ( 1)(d)) .
Além disso, tendo em conta as múltiplas correspondências enviadas 
para o endereço errado, as medidas de segurança do responsável 
pelo tratamento dos dados não conseguiram salvaguardar 
adequadamente osdados do reclamante (artigo 5.º, n.º 1, alínea f). A 
obrigação de implementar medidas de segurança adequadas nos 
termos do artigo 5.º ( 1)(f) deve ser interpretado de acordo com o 
Artigo 32 do GDPR, que estabelece considerações que devem ser 
levadas em consideração por um controlador de dados ao determinar 
se medidas de segurança adequadas estão em vigor.
Em resposta, o banco do queixoso observou que o seu sistema 
hipotecário foi construído com base na premissa de que haveria 
um endereço de correspondência e, nas situações em que as 
partes solidárias da hipoteca já não tivessem um endereço de 
correspondência único acordado, este teria de ser gerido 
manualmente fora do sistema, o que às vezes levava a erros.
Era evidente que o responsável pelo tratamento dos dados para 
efeitos da reclamação era o banco do reclamante, uma vez que 
controlava os dados pessoais do reclamante para efeitos de gestão 
da hipoteca do reclamante. Os dados em questão consistiam (entre 
outras coisas) em informações financeiras relativas à hipoteca do 
reclamante junto do responsável pelo tratamento dos dados. Os 
dados eram pessoais
PRECISÃO 25
ESTUDO DE CASO 23
Prova de identificação e minimização de dados
A DPC recebeu uma reclamação, através da Autoridade de 
Proteção de Dados de Berlim, de um indivíduo relativamente 
a um pedido que fez a um responsável pelo tratamento de 
dados para alterar o endereço de e-mail associado à sua 
conta de cliente. O reclamante fez o pedido através da função 
de chat online do responsável pelo tratamento de dados e foi 
posteriormente informado de que seria necessária uma cópia 
de um documento de identificação para autenticar a 
titularidade da conta para prosseguir com o pedido. O 
queixoso recusou-se a fornecer esta informação e o seu 
pedido não foi, portanto, processado pelo responsável pelo 
tratamento de dados nessa altura.
À luz da reclamação, o responsável pelo tratamento dos dados concordou 
em fornecer instruções claras sobre como o reclamante poderia alterar o 
seu endereço de e-mail associado às informações da sua conta sem 
fornecer quaisquer dados pessoais adicionais. O controlador de dados 
também realizou uma revisão completa de seus sistemas de atendimento 
ao cliente e forneceu treinamento de atualização adicional a todos os seus 
agentes de atendimento ao cliente sobre os procedimentos operacionais 
padrão corretos a serem seguidos em tais casos.
A DPC contactou então o reclamante, através da Autoridade de 
Proteção de Dados de Berlim, para fornecer as informações que 
recebeu do responsável pelo tratamento dos dados, numa tentativa de 
facilitar uma resolução amigável da reclamação. O
O queixoso confirmou posteriormente à DPC que tinha alterado com 
sucesso o endereço de correio electrónico da sua conta junto do 
responsável pelo tratamento de dados.
Após a recepção da reclamação, a DPC contactou o 
responsável pelo tratamento de dados, durante o qual foi 
estabelecido que o responsável pelo tratamento de dados 
não exige que os indivíduos forneçam um documento de 
identificação para alterar o endereço de e-mail associado 
a uma conta. Além disso, o agente de atendimento ao 
cliente utilizou um procedimento operacional incorreto ao 
responder à solicitação do reclamante. O procedimento 
padrão do controlador de dados orienta os agentes de 
atendimento ao cliente a avisar os clientes de que eles 
podem alterar seu endereço de e-mail acessando sua 
própria conta e fazendo a alteração diretamente na 
página de configurações da 'Conta'. O responsável pelo 
tratamento também informou que se um cliente não 
desejar ou não puder alterar seu endereço de e-mail por 
conta própria,
Este estudo de caso demonstra os benefícios, tanto para os responsáveis 
pelo tratamento de dados como para os reclamantes individuais, de se 
envolverem no processo de resolução amigável de uma forma significativa. 
Neste caso, as ações positivas tomadas pelo responsável pelo tratamento de 
dados, incluindo o fornecimento de informações detalhadas ao reclamante 
sobre como proceder com a alteração do endereço de e-mail associado à 
sua conta, resultaram num bom resultado para ambas as partes.
26 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 24
Precisão de dados
O queixoso, neste caso, apresentou uma queixa a um 
órgão regulador profissional sobre a conduta de uma 
pessoa regulamentada. Esta reclamação não foi 
acolhida pela entidade reguladora profissional. Na sua 
queixa à DPC, o queixoso alegou que o órgão 
regulador profissional tinha registado de forma 
imprecisa os dados pessoais relativos a eles na acta da 
sua reunião. O queixoso alegou também que o 
organismo regulador profissional tinha registado de 
forma imprecisa os mesmos dados pessoais relativos 
ao queixoso numa carta enviada por este a um terceiro.
prontamente disponíveis para eles certas informações. Este 
gabinete analisou a informação que o órgão regulador 
profissional afirmou estar à disposição dos particulares sobre 
a apresentação de uma reclamação, sob a forma de folheto 
informativo. Este folheto não continha, em particular, 
quaisquer detalhes sobre o direito dos indivíduos de acesso 
aos dados pessoais que lhes dizem respeito e os direitos dos 
indivíduos de retificar dados imprecisos que lhes digam 
respeito. Uma vez que o folheto informativo não continha 
todas as informações que deveriam ser fornecidas aos 
titulares dos dados ao abrigo da legislação de protecção de 
dados e uma vez que o organismo regulador profissional não 
forneceu quaisquer outros detalhes sobre outras medidas que 
tinha em vigor no momento relevante para abordar suas 
obrigações de processamento justo,Antes de iniciar uma investigação sobre esta reclamação, a DPC 
analisou as informações fornecidas e estabeleceu que o órgão 
regulador profissional foi identificado como o responsável pelo 
tratamento de dados relevante em relação à reclamação, uma vez 
que controlava o conteúdo e a utilização dos dados pessoais do 
reclamante para efeitos de investigando a denúncia. Os dados em 
questão eram dados pessoais relativos ao reclamante, os quais 
podiam identificar o reclamante e os dados relativos ao 
reclamante enquanto indivíduo. A DPC ficou portanto convencida 
de que a queixa deveria ser investigada para determinar se tinha 
ocorrido uma violação da legislação de protecção de dados.
Nos termos do RGPD, os responsáveis pelo tratamento de dados 
devem garantir que os dados pessoais são exatos e, quando 
necessário, mantidos atualizados, e devem ser tomadas todas as 
medidas razoáveis para garantir que os dados pessoais imprecisos, 
tendo em conta as finalidades para as quais são processados, sejam 
apagados ou corrigidos sem demora. Nos termos do artigo 16.º do 
RGPD, o titular dos dados tem o direito (sujeito a certas exceções) de 
obter do responsável pelo tratamento, sem demora injustificada, a 
retificação dos dados pessoais inexatos que lhe digam respeito.
No decurso da instrução desta reclamação, a entidade 
reguladora profissional admitiu que os dados pessoais em 
causa tinham sido registados inexatamente e, 
relativamente aos dados registados em ata, corrigiu os 
dados através da inserção de um esclarecimento. Nesta 
base, este gabinete considerou que os dados pessoais 
registados na ata da reunião e na carta ao terceiro foram 
registados de forma imprecisa, em violação da legislação 
de proteção de dados.
O GDPR também exige que os dados pessoais sejam processados de 
forma justa e transparente. O responsável pelo tratamento de dados 
deve fornecer ao titular dos dados todas as informações necessárias 
para garantir um tratamento justo e transparente, tendo em conta as 
circunstâncias e o contexto específicos em que os dados são tratados. 
Em particular, quando os dados pessoais são recolhidos junto de um 
titular de dados, o artigo 13.º do RGPD exige que o responsável pelo 
tratamento forneça ao titular dos dados, entre outras coisas,informações sobre a identificação e os dados de contacto do 
responsável pelo tratamento e do seu responsável pela proteção de 
dados ( quando aplicável), a finalidade do tratamento, os destinatários 
ou categorias de destinatários dos dados e informações quanto aos 
direitos de retificação e apagamento dos dados pessoais.
Este gabinete também examinou se o organismo regulador 
profissional tinha processado os dados pessoais do queixoso de forma 
justa, conforme exigido pela legislação de protecção de dados. A fim 
de cumprir o requisito de tratamento leal dos dados pessoais, os 
responsáveis pelo tratamento dos dados devem garantir que os 
titulares dos dados recebem ou fizeram
PRECISÃO 27
Transfronteiriço
Reclamações
ESTUDO DE CASO 25
Lidar com a reclamação de um titular de dados irlandês contra a 
Cardmarket, com sede na Alemanha, usando o mecanismo GDPR One Stop 
Shop (Lei aplicável — GDPR e Lei de Proteção de Dados de 2018)
A Comissão de Proteção de Dados (DPC) recebeu uma 
reclamação de um indivíduo irlandês contra a 
Cardmarket, uma plataforma alemã de comércio 
eletrônico e negociação. O indivíduo recebeu um e-
mail da Cardmarket notificando que havia sido 
hackeado e que algumas informações pessoais de 
seus usuários podem ter vazado. O indivíduo alertou a 
DPC e apresentou denúncia em relação ao 
descumprimento.
A DPA de Berlim concluiu a sua investigação sobre a 
violação e a reclamação do indivíduo. Carregou dois 
projetos de decisão, um em relação à violação global que 
afetou muitos outros utilizadores da plataforma em toda 
a Europa, e outro em relação à queixa específica que foi 
apresentada pelo indivíduo irlandês à DPC e comunicada 
à DPA de Berlim.
Um aspecto importante do mecanismo OSS é que uma CSA pode 
comentar um projecto de decisão emitido por uma autoridade 
supervisora principal. Isto visa garantir que as autoridades de 
supervisão europeias aplicam o RGPD de forma consistente, ou 
seja, que uma decisão final tomada pela DPA de Berlim teria a 
mesma conclusão que uma decisão da DPC se a empresa 
estivesse localizada na Irlanda e a DPC tivesse investigado a 
reclamação como a autoridade supervisora principal. A DPC ficou 
satisfeita com os projetos de decisão da APD de Berlim e não 
considerou necessário levantar quaisquer pontos de 
esclarecimento ou pedidos de alteração nesta ocasião.
No âmbito do mecanismo One Stop Shop (OSS) criado pelo 
Regulamento Geral de Proteção de Dados (GDPR), a 
localização do principal estabelecimento europeu de uma 
empresa determina qual autoridade europeia atuará 
como autoridade supervisora principal em relação a 
quaisquer reclamações recebidas. Uma vez estabelecida a 
autoridade supervisora principal (LSA), a autoridade que 
recebeu a reclamação atua como autoridade supervisora 
competente (CSA). O CSA é o intermediário entre o LSA e o 
indivíduo. Entre outras coisas, a razão para esta separação 
é para que as autoridades de supervisão possam 
comunicar com os reclamantes individuais na sua língua 
nativa. Neste caso, a Autoridade de Proteção de Dados de 
Berlim (DPA) atuou como LSA, uma vez que a empresa 
tinha o seu estabelecimento principal na área territorial de 
Berlim. A DPC atuou como CSA,
O projeto de decisão em relação à violação global descreveu uma 
série de medidas tomadas pela plataforma para resolver a 
violação e mitigar os seus efeitos adversos. As medidas incluíram 
retirar seus servidores da rede e excluir todos os dados neles 
contidos, bem como redefinir todas as senhas de usuários e 
garantir que as novas senhas fossem criptografadas com os 
métodos de hash mais recentes. O projeto de decisão considerava 
improvável uma repetição do incidente e que a divulgação em 
massa de palavras-passe
28 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
tornou-se praticamente impossível à luz das medidas 
tomadas.
Este caso ilustra as transferências e transferências 
desafiadoras envolvidas no mecanismo OSS estabelecido 
pelo GDPR. Demonstra a profundidade da cooperação 
entre as autoridades de supervisão europeias necessária 
para a aplicação consistente do GDPR na Europa.
A DPC informou o indivíduo sobre o resultado da 
investigação da DPA de Berlim, fornecendo-lhe uma 
cópia da decisão global que investiga a violação e da 
decisão que trata da sua queixa específica.
ESTUDO DE CASO 26
A Operação do Procedimento do Artigo 60 em 
Reclamações Transfronteiriças: Groupon
A DPC recebeu uma reclamação em julho de 2018 
da autoridade polaca de proteção de dados em 
nome de um reclamante polaco contra a Groupon 
International Limited (“Groupon”). A reclamação 
estava relacionada com os requisitos que o 
Groupon tinha em vigor na altura para verificar a 
identidade dos indivíduos que lhe fizeram pedidos 
de direitos de proteção de dados. Neste caso, o 
queixoso alegou que a prática do Groupon de exigir 
que verificassem a sua identidade através da 
apresentação electrónica de uma cópia de um 
bilhete de identidade nacional, no contexto de um 
pedido que tinham feito para o apagamento de 
dados pessoais nos termos do artigo 17.º do do 
RGPD, constituiu uma violação do princípio da 
minimização de dados, tal como estabelecido no 
artigo 5.º, n.º 1, alínea c), do RGPD, em 
circunstâncias em que não havia obrigação de 
fornecer um documento de identidade quando uma 
conta Groupon foi criada. Além disso,
mesmo . Como tal, a questão deveria ser decidida através de uma 
decisão nos termos do artigo 60.º do RGPD.
(i) Projeto de Decisão Inicial
O primeiro passo no processo do Artigo 60 implicou que a DPC 
preparasse um projecto de decisão relativamente à queixa. No seu 
projeto de decisão inicial, o DPC constatou violações dos artigos 5.º, n.º 
1, alínea c), e 12.º, n.º 2, do RGPD por parte do Groupon. A DPC 
forneceu o projeto de decisão ao Groupon para que este pudesse 
apresentar propostas. A Groupon apresentou posteriormente uma 
série de observações, que (juntamente com a análise da DPC das 
mesmas) foram tidas em conta numa nova versão do projeto de 
decisão.
(ii) Fornecimento do Projeto Inicial de Decisão às 
Autoridades de Supervisão Interessadas
A segunda fase do processo do artigo 60.º envolveu o 
carregamento do projeto de decisão inicial da DPC no IMI para 
circulação entre as Autoridades de Supervisão Interessadas (CSA), 
nos termos do artigo 60.º, n.º 3, do RGPD. O projeto de decisão da 
DPC foi carregado no IMI em 25 de maio de 2020 e, nos termos do 
artigo 60.º, n.º 4, do RGPD, os CSA tiveram posteriormente direito 
a quatro semanas para apresentar quaisquer objeções relevantes 
e fundamentadas à decisão. A DPC recebeu subsequentemente 
uma série de objecções e comentários relevantes e 
fundamentados sobre a sua decisão por parte dos CSA. Em 
particular, alguns APC argumentaram que deveriam ter sido 
detectadas infrações adicionais ao RGPD e, além disso, que 
deveria ter sido imposta uma reprimenda e/ou multa 
administrativa.
A DPC iniciou o exame da denúncia após o recebimento da 
mesma. No decurso da sua correspondência com o Groupon 
sobre o assunto, tornou-se claro que a política do Groupon de 
exigir que um requerente forneça uma cópia de um bilhete de 
identidade nacional, que estava em vigor desde antes da entrada 
em vigor do RGPD (e que estava em vigor no momento do 
pedido de apagamento do reclamante), tinha sido 
descontinuado desde outubro de 2018. Em seu lugar, o Groupon 
implementou um sistema de autenticação de e-mail que 
permitiu aos usuários do Groupon verificar a propriedade de sua 
conta. A DPC tentou resolver a reclamação amigavelmente (de 
acordo com a seção 109(2) da Lei de Proteção de Dados de 
2018), mas o reclamante não estava disposto a aceitar as 
propostas do Groupon em relação a
(iii) Projeto de Decisão Revisto
A fase seguinte do processo do Artigo 60 exigia que a DPC 
considerasse cuidadosamente cada objecção e comentário relevante e 
fundamentado recebido em relação ao seu projecto de decisão, e 
incorporasse a sua análise dos mesmosnum projecto de decisão 
revisto. Ao rever o seu projecto de decisão, a DPC seguiu algumas 
objecções relevantes e fundamentadas recebidas,
RECLAMAÇÕES TRANSFRONTEIRIÇAS 29
e recusou-se a seguir certas objecções relevantes e fundamentadas. O 
projeto de decisão revisto da DPC, tendo em conta a sua análise das 
objeções e comentários relevantes e fundamentados relativamente ao 
seu projeto de decisão, constatou violações adicionais dos artigos 17.º, 
n.º 1, alínea a), e 6.º, n.º 1, do RGPD por parte da Groupon. Além disso, 
a DPC propôs, no seu projeto de decisão revisto, emitir uma 
reprimenda ao Groupon, nos termos do artigo 58.º, n.º 2, alínea b), do 
RGPD. A DPC forneceu seu projeto de decisão revisado ao Groupon 
para permitir que ele fizesse as apresentações finais. Foram recebidas 
diversas observações finais do Groupon, as quais (juntamente com a 
análise da DPC das mesmas) foram tidas em conta no projeto de 
decisão revisto da DPC.
(v) Adoção da Decisão Final
Após a retirada da objecção final relevante e fundamentada, e 
decorrido o prazo para recepção de quaisquer outras 
objecções, a última fase do processo do artigo 60.º implicou a 
adopção pela DPC da decisão final, que foi carregada no IMI e 
comunicada ao Groupon . A decisão final foi carregada em 16 
de dezembro de 2020. Nos termos do artigo 60.º, n.º 6, do 
RGPD, os CSA foram considerados neste momento como 
estando de acordo com a decisão e vinculados a ela. Nos 
termos do artigo 60.º, n.º 7, a autoridade polaca de proteção de 
dados junto da qual a reclamação foi inicialmente apresentada 
era responsável por informar o queixoso da decisão.
(iv) Fornecimento de Projeto de Decisão Revisado às 
Autoridades de Supervisão Interessadas
Em resumo, a DPC constatou violações dos seguintes artigos do RGPD 
em relação a este caso: artigos 5.º, n.º 1, alínea c), 12.º, n.º 2, 17.º, n.º 1, 
alínea a) e 6.º, n.º 1. Este estudo de caso demonstra que, quando uma 
reclamação transfronteiriça em matéria de proteção de dados não 
pode ser resolvida amigavelmente, o procedimento do artigo 60.º que 
se segue é particularmente complicado, complexo e moroso, 
especialmente tendo em conta as opiniões de outras autoridades de 
controlo em toda a UE/ O EEE deve ser tido em conta e 
cuidadosamente considerado em todos esses casos.
Neste caso, após a conclusão da investigação da denúncia, 
o projeto inicial da decisão da DPC foi carregado no IMI em 
25 de maio de 2020, e a decisão final — incorporando 
observações do Groupon, objeções relevantes e 
fundamentadas e comentários dos CSAs, e a análise da DPC 
sobre o mesmo — foi adotada em 16 de dezembro de 2020, 
cerca de sete meses depois.
A fase seguinte do processo do artigo 60.º implicou que a 
DPC carregasse o seu projeto de decisão revisto no IMI, para 
circulação entre os CSA. Nos termos do artigo 60.º, n.º 5, do 
RGPD, os CSA tinham direito a mais duas semanas para 
indicar se tencionavam manter as suas objeções. Isto 
levantou a perspectiva de que o procedimento de resolução 
de litígios ao abrigo do artigo 65.º do RGPD teria de ser 
iniciado, o que teria envolvido o Comité Europeu para a 
Protecção de Dados (CEPD) a decidir sobre o(s) ponto(s) de 
desacordo, e que teria alargado ainda mais o momento em 
que a decisão relativa ao caso poderia ser concluída. No 
entanto, a consulta adicional foi posteriormente retirada.
ESTUDO DE CASO 27
Resolução Amigável em Reclamações Transfronteiriças: MTCH
A DPC recebeu uma reclamação em junho de 2020, por meio 
de seus formulários on-line de reclamação, contra a MTCH 
Technology Services Limited (Tinder). Embora a reclamação 
tenha sido apresentada diretamente à DPC, por um 
residente irlandês, após avaliação, foi considerada uma 
reclamação transfronteiriça porque estava relacionada com 
as políticas operacionais gerais do Tinder e, como o Tinder 
está disponível em toda a UE, o processamento reclamado 
foi portanto, considerado de um tipo “….que afeta 
substancialmente ou é suscetível de afetar substancialmente 
os titulares dos dados em mais de um Estado-Membro” (de 
acordo com a definição de processamento transfronteiriço 
nos termos do artigo 4.º, n.º 23, do RGPD).
o queixoso apresentou um pedido ao Tinder para o 
apagamento dos seus dados pessoais nos termos do 
artigo 17.º do RGPD. Em resposta ao seu pedido de 
apagamento, o queixoso foi encaminhado pelo Tinder 
para a sua política de privacidade para obter informações 
relacionadas com as suas políticas de retenção de dados 
pessoais. Em particular, o Tinder informou ao reclamante 
que “depois que uma conta é encerrada, seja qual for o 
motivo (exclusão pelo usuário, conta banida, etc.), os 
dados do usuário não ficam mais visíveis no serviço 
(sujeito a um atraso razoável) e os dados são descartados 
de acordo com a política de privacidade [do Tinder]”. O 
denunciante ficou insatisfeito com esta resposta e entrou 
novamente em contato com o Tinder solicitando o 
apagamento de seus dados pessoais.
A reclamação dizia respeito ao banimento do 
denunciante da plataforma Tinder, após o qual o
30 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
obrigações de retenção e para o estabelecimento, exercício ou 
defesa de ações judiciais, conforme permitido pelo Art. 17(3) do 
RGPD.” O queixoso apresentou posteriormente a sua queixa à 
DPC.
os dados pessoais do reclamante para que este pudesse abrir uma 
nova conta.
O reclamante tinha algumas preocupações residuais em relação à 
maneira como o Tinder responde aos pedidos de apagamento. Ao 
ser informado de que tais questões estavam sendo examinadas 
pela DPC por meio de inquérito estatutário separado, o 
reclamante concordou em aceitar a proposta do Tinder para a 
resolução amigável da reclamação.
Como tal, a questão foi resolvida amigavelmente nos 
termos da secção 109(3) da Lei de Protecção de Dados de 
2018 (a Lei), e nos termos da secção 109(3) da Lei a 
reclamação foi considerada retirada.
Após o envolvimento do DPC com o Tinder em relação a esta 
reclamação, o Tinder informou ao DPC que o reclamante havia sido 
banido da plataforma porque suas informações de login estavam 
vinculadas a outro perfil banido. Além disso, o Tinder identificou 
outras onze contas associadas ao ID do dispositivo do reclamante. 
Todas essas contas foram banidas da plataforma Tinder porque 
parecia que um cliente não oficial estava sendo usado para acessar o 
Tinder (uma violação dos termos de serviço do Tinder). O DPC voltou 
ao reclamante com esta informação, e o reclamante informou que 
havia usado o cliente oficial do Tinder para Android e o site oficial do 
Tinder no Firefox. No entanto, descobriu-se que ele estava usando 
uma versão personalizada do Android em seu telefone com vários 
complementos de segurança e privacidade. Como resultado, seu 
telefone tinha um ID de dispositivo diferente após cada atualização/
reinicialização. Na opinião do reclamante, essa foi a causa provável do 
problema que resultou em seu banimento do Tinder. À luz de tal 
proibição, de acordo com a política do Tinder sobre retenção de 
dados, os seus dados pessoais teriam sido retidos por um longo 
período de tempo. No entanto, dadas as circunstâncias, por meio de 
uma proposta de resolução amigável, o Tinder ofereceu-se para 
excluir imediatamente
Este estudo de caso demonstra que um exame minucioso de uma 
reclamação aparentemente intratável pode resultar na sua 
resolução amigável, o que muitas vezes resultará numa solução 
justa e eficaz para o indivíduo afetado em tempo útil . Neste caso, 
as informações recolhidas pela DPC quando investigou mais 
profundamente as circunstâncias do banimento do queixoso do 
Tinder - nomeadamente o facto de o queixoso ter utilizado uma 
versão personalizada do Android com complementos de 
segurança e privacidade - contribuíram para uma maior 
compreensão. entre as partes e levou o Tinder a apresentar a sua 
proposta de resolução do caso, que o denunciante aceitou.
ESTUDO DE CASO 28
Resolução amigávelem reclamações transfronteiriças: 
Facebook Irlanda
A DPC recebeu uma reclamação multifacetada em abril de 
2019 relativa a pedidos de acesso (nos termos do artigo 
15.º do RGPD), de retificação (nos termos do artigo 16.º 
do RGPD) e de apagamento (nos termos do artigo 17.º do 
RGPD) que o reclamante tinha feito ao Facebook Ireland 
Limited (“Facebook”). A reclamação foi feita diretamente à 
DPC, por um titular dos dados residente no Reino Unido. 
Após avaliação na DPC, a reclamação foi considerada 
transfronteiriça porque estava relacionada com as 
políticas operacionais gerais do Facebook e, como o 
Facebook está disponível em toda a UE, o processamento 
reclamado foi, portanto, considerado de um tipo “….que 
afecta substancialmente ou seja suscetível de afetar 
substancialmente os titulares dos dados em mais de um 
Estado-Membro” (de acordo com a definição de 
tratamento transfronteiriço nos termos do artigo 4.º, n.º 
23, do RGPD).
O queixoso inicialmente fez os seus pedidos ao Facebook porque 
a sua conta no Facebook estava bloqueada há mais de um ano, 
sem motivo na opinião do queixoso, e ele acreditava que o 
Facebook detinha dados pessoais imprecisos relativos a ele. 
Desejando, em última análise, apagar todos os dados pessoais 
que o Facebook detinha em relação a ele, o queixoso considerou 
que esta informação imprecisa o impedia de conseguir iniciar 
sessão na sua conta do Facebook para iniciar o processo de 
apagamento. Por conseguinte, apresentou um pedido de acesso 
ao Facebook, mas não conseguiu verificar a sua identidade de 
forma satisfatória para o Facebook. O queixoso apresentou 
posteriormente a sua queixa à DPC.
Após um envolvimento considerável da DPC com o 
Facebook e com o reclamante com vista a resolver a 
reclamação amigavelmente, durante o qual o reclamante 
conseguiu verificar a sua identidade para satisfação do 
Facebook, o Facebook concordou em fornecer ao 
reclamante um link contendo os dados pessoais que
RECLAMAÇÕES TRANSFRONTEIRIÇAS 31
manteve em relação a ele. O denunciante acessou o 
material no link, mas continuou insatisfeito porque alegou 
que o material fornecido era insuficiente. Em particular, o 
queixoso indicou que desejava ser informado sobre 
quaisquer dados pessoais detidos em relação a si pelo 
Facebook, para além daqueles que foram processados 
para operar o seu perfil no Facebook. O Facebook 
respondeu à DPC indicando que o material fornecido ao 
denunciante através do link era a totalidade dos dados da 
conta que possuía em relação a ele. O queixoso 
permaneceu insatisfeito com esta resposta, indicando que 
pretendia obter informações sobre quaisquer dados 
pessoais que o Facebook detinha em relação a ele e que 
não estivessem relacionados com a sua conta no 
Facebook. Reiterou também a sua convicção de que alguns 
destes dados pessoais,
fornecida ao queixoso foi a totalidade dos dados que detinha em 
relação a ele que se enquadravam no âmbito do artigo 15.º, e 
indicou que procederia ao apagamento dos dados pessoais do 
queixoso assim que este tivesse indicado que estava agora 
satisfeito com isso para fazer isso.
O reclamante contentou-se em concluir a questão nesta 
base e, como tal, a questão foi resolvida amigavelmente nos 
termos da secção 109(3) da Lei de Protecção de Dados de 
2018 (a Lei) e nos termos da secção 109(3) da Lei a a 
reclamação foi considerada retirada.
Este estudo de caso demonstra os benefícios – para os 
reclamantes individuais – da intervenção da DPC por meio do 
processo de resolução amigável. Neste caso, o envolvimento da 
DPC levou o queixoso a poder verificar a sua identidade, a 
contento do Facebook, e a que o Facebook lhe fornecesse links 
contendo os seus dados pessoais em duas ocasiões. O 
envolvimento da DPC com o responsável pelo tratamento 
também resultou na confirmação, para satisfação do queixoso, 
de que todos os dados pessoais que deviam ser divulgados em 
resposta a um pedido do artigo 15.º lhe tinham sido fornecidos. 
Isto resultou num resultado justo que foi satisfatório para ambas 
as partes da queixa. Este estudo de caso também ilustra o 
intenso investimento de recursos necessário por parte das 
Autoridades de Proteção de Dados (DPA) para resolver questões 
desta natureza. O queixoso, neste caso, levanta uma questão que 
lhe preocupa e tem o direito de que a questão seja abordada. A 
questão que o caso levanta é se o responsável pelo tratamento 
neste caso deveria ter sido capaz de resolver esta questão sem a 
necessidade de extensos recursos da DPA para mediar o 
resultado.
Em resposta, o Facebook informou à DPC que, desde o início da 
reclamação, tinha feito algumas melhorias na sua ferramenta 
“Download Your Information”. Na sequência desta atualização das 
suas ferramentas de acesso, determinou que existia uma 
quantidade muito pequena de dados pessoais adicionais em 
relação à conta do Facebook do reclamante e forneceu ao 
reclamante um novo link contendo todos os dados pessoais que 
possuía em relação ao reclamante. , incluindo estes dados 
adicionais . O denunciante acedeu a este material adicional e, com 
o objetivo de resolver a sua reclamação, procurou a confirmação 
de que, uma vez efetuada a eliminação da sua conta, o Facebook 
deixaria de deter quaisquer dados pessoais relativos a ele. O 
Facebook voltou a indicar que o material que tinha
ESTUDO DE CASO 29
Artigo 60.º Não resposta a um pedido de acesso da Ryanair
Neste caso, o queixoso apresentou inicialmente a sua 
queixa ao Information Commissioner's Office (ICO) do 
Reino Unido, que foi posteriormente recebida pela DPC, 
em 2 de março de 2019. A queixa dizia respeito ao alegado 
incumprimento por parte da Ryanair DAC (Ryanair) em 
cumprir um pedido de acesso de titular que lhe foi 
apresentado pelo reclamante em 26 de setembro de 2018, 
em conformidade com o artigo 15.º do RGPD. O ICO 
forneceu à DPC uma cópia do formulário de reclamação 
apresentado ao ICO pelo reclamante, uma cópia da 
confirmação, datada de 26 de setembro de 2018, que o 
reclamante recebeu do controlador de dados ao enviar a 
solicitação de acesso, e uma cópia do e-mail de 
acompanhamento do reclamante
ao responsável pelo tratamento solicitando uma atualização 
em relação ao seu pedido.
Agindo na sua qualidade de Autoridade Supervisora Principal, a 
DPC iniciou uma análise da reclamação contactando o 
responsável pelo tratamento de dados, descrevendo os detalhes 
da reclamação e instruindo o responsável pelo tratamento de 
dados a responder integralmente ao pedido de acesso e a 
fornecer à DPC uma cópia da carta de apresentação enviada ao 
reclamante. A Ryanair forneceu ao queixoso acesso a cópias dos 
seus dados pessoais relativos à referência de reserva específica 
que o queixoso tinha fornecido ao ICO e aos dados relativos a 
uma reclamação separada. A Ryanair informou que não poderia 
fornecer ao queixoso uma cópia da gravação da chamada 
solicitada, pois, devido ao atraso da Ryanair no processamento do 
pedido, a chamada
32 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
a gravação foi excluída de acordo com a política da empresa e eles não 
conseguiram recuperá-la. A Ryanair informou a DPC de que tinha 
informado previamente o queixoso deste facto através do seu portal 
online. A Ryanair afirmou que no momento em que o pedido foi 
apresentado, devido ao volume de titulares de dados que não 
verificaram o seu endereço de correio eletrónico, os pedidos de acesso 
não foram atribuídos ao departamento competente até que o e-mail 
fosse verificado pelo titular dos dados. A Ryanair informou a DPC que o 
reclamante respondeu ao pedido, verificando o seu endereço de 
correio eletrónico, mas o agente que estava a trabalhar no pedido 
tinha deixado de trabalhar no portal online e, portanto, o pedido não 
tinha sido atribuído ao departamento competente. A Ryanair afirmou 
que este erro só foi descoberto algum tempo depois, quando o pedido 
foi então atribuído ao departamento de atendimento ao cliente para 
fornecer os dados necessários,incluindo a gravação da chamada, 
altura em que o registo da chamada foi eliminado de acordo com a 
política de retenção da Ryanair. A Ryanair forneceu à DPC uma cópia da 
sua política de retenção, na qual afirma que as gravações das 
chamadas são retidas por um período de 90 dias a contar da data da 
chamada. A Ryanair informou que, como a chamada do queixoso tinha 
sido feita em 5 de setembro de 2018, teria sido automaticamente 
eliminada em 4 de dezembro de 2018. A Ryanair afirmou ainda que não 
possui a funcionalidade para recuperar gravações de chamadas 
excluídas. Nos termos da Secção 109(2) da Lei de Protecção de Dados 
de 2018, a DPC tentou facilitar a resolução amigável da reclamação. No 
entanto, o queixoso não estava disposto a aceitar as propostas da 
Ryanair relativamente ao mesmo. Como tal, a questão deveria ser 
decidida através de uma decisão nos termos do artigo 60.º do RGPD.
distribuídos entre as Autoridades de Supervisão Interessadas 
(CSAs), nos termos do Artigo 60(3) do GDPR. O projeto de decisão 
da DPC foi carregado no IMI em 25 de maio de 2020 e, nos termos 
do artigo 60.º, n.º 4, do RGPD, os CSA tiveram posteriormente 
direito a quatro semanas para apresentar quaisquer objeções 
relevantes e fundamentadas à decisão.
A DPC recebeu subsequentemente uma série de objecções e 
comentários relevantes e fundamentados em relação ao seu 
projecto de decisão por parte dos CSA. Em particular, alguns APC 
argumentaram que deveriam ter sido detectadas infrações 
adicionais ao RGPD e, além disso, que deveria ter sido imposta 
uma repreensão.
(iii) Projeto de Decisão Revisto
De acordo com o artigo 60.º, n.º 3, do RGPD, o DPC é obrigado a 
ter devidamente em conta as opiniões dos CSA. À luz das objeções 
e comentários recebidos dos CSAs, a DPC considerou 
cuidadosamente cada objeção e comentário relevante e 
fundamentado recebido em relação ao seu projeto de decisão. A 
DPC reviu o seu projecto de decisão para incluir um resumo e uma 
análise das objecções e comentários expressos pelos CSAs. Ao 
rever o seu projecto inicial, a DPC seguiu algumas objecções 
relevantes e fundamentadas recebidas e recusou-se a seguir 
outras. No seu projeto de decisão revisto, a DPC propôs emitir 
uma repreensão à Ryanair, nos termos do artigo 58.º, n.º 2, alínea 
b), do RGPD. A DPC forneceu o seu projeto de decisão revisto à 
Ryanair para lhe permitir apresentar observações finais. A Ryanair 
observou que a DPC concluiu que tinha infringido o RGPD, e que a 
DPC exerceu os seus poderes neste caso em conformidade com o 
considerando 129 e os requisitos do devido processo previstos no 
artigo 58.º do RGPD. A Ryanair informou a DPC que aceitava as 
conclusões e a repreensão associada e não desejava apresentar 
mais observações.(i) Projeto de Decisão Inicial
Dado que a reclamação dizia respeito ao processamento 
transfronteiriço, a DPC foi obrigada, de acordo com o 
processo do artigo 60.º, a tomar um projecto de decisão 
relativamente à reclamação. Na sua versão inicial do projeto 
de decisão, a DPC concluiu por violação do artigo 15.º do 
RGPD, na medida em que a Ryanair não forneceu ao 
queixoso uma cópia dos seus dados pessoais que estavam 
em tratamento no momento do pedido. O DPC também 
constatou uma violação do artigo 12.º, n.º 3, do RGPD, na 
medida em que a Ryanair não forneceu ao queixoso 
informações sobre as medidas tomadas relativamente ao 
seu pedido nos termos do artigo 15.º no prazo legal de um 
mês. A DPC forneceu o projecto de decisão à Ryanair para 
lhe permitir apresentar observações. Posteriormente, a 
Ryanair apresentou uma série de observações,
(iv) Fornecimento de Projeto de Decisão Revisado às 
Autoridades de Supervisão Interessadas
Em conformidade com o artigo 60.º, n.º 5, do RGPD, uma vez que 
o DPC apresentou o seu projeto de decisão revisto aos CSA para 
parecerem, os CSA tiveram direito a mais duas semanas para 
apresentarem quaisquer outras objeções à decisão.
Nos termos do artigo 60.º, n.º 5, do RGPD, a DPC apresentou o 
seu projeto de decisão revisto às CSA para parecer em 20 de 
outubro de 2020. Dado que a DPC não recebeu mais objecções 
ou comentários em relação ao projecto de decisão revisto por 
parte dos CSA dentro do prazo legal, os CSA foram considerados 
como estando de acordo com o projecto de decisão revisto da 
DPC e vinculados a ele em conformidade com o Artigo 60( 6) do 
RGPD.
(ii) Fornecimento de projeto de decisão às autoridades 
de supervisão competentes (v) Adoção da Decisão Final
De acordo com o processo do artigo 60.º, a DPC procedeu à submissão 
do seu sentido provável de decisão ao IMI para apreciação.
Decorrido o prazo para recepção de quaisquer novas 
impugnações, a DPC procedeu à adopção da decisão final,
RECLAMAÇÕES TRANSFRONTEIRIÇAS 33
de acordo com o Artigo 60(7) do GDPR. A DPC carregou 
então a sua decisão final no IMI e comunicou-a à Ryanair. 
A decisão final foi carregada em 11 de novembro de 
2020. Nos termos do artigo 60.º, n.º 7, a OIC, a quem a 
denúncia foi inicialmente apresentada, era responsável 
por informar o reclamante da decisão.
demorado . Neste caso, o projeto inicial da decisão da DPC foi 
carregado no IMI em 25 de maio de 2020, e a decisão final só 
foi adotada em 11 de novembro de 2020, cerca de seis meses 
depois.
Este estudo de caso também demonstra — mais uma vez — a 
intensidade dos recursos da DPA consumidos na obtenção de 
resultados sobre questões que poderiam ter sido resolvidas pelo 
responsável pelo tratamento sem recurso à DPC, levantando 
novamente a questão da drenagem injustificada de recursos da DPA, 
afastando-a da resolução de questões sistémicas mais amplas. que 
alcançaria melhores resultados para o número máximo de indivíduos.
Em resumo, a DPC constatou violações do artigo 12.º, n.º 3, e do 
artigo 15.º do RGPD no que diz respeito a esta queixa.
Este estudo de caso demonstra que, quando uma reclamação 
relativa ao tratamento transfronteiriço de dados pessoais não 
pode ser resolvida amigavelmente, o procedimento do artigo 60.º 
que se segue é particularmente complicado, complexo e
ESTUDO DE CASO 30
Resolução amigável em reclamações transfronteiriças — 
pedido de acesso à Airbnb
A DPC recebeu uma reclamação em setembro de 2020 
relativa a um pedido de acesso (ao abrigo do artigo 15.º 
do RGPD), que o reclamante tinha feito à Airbnb Ireland 
UC (“Airbnb”). A denúncia foi feita diretamente à DPC, por 
um indivíduo radicado em Malta. Após avaliação da DPC, 
a reclamação foi considerada transfronteiriça porque 
estava relacionada com as políticas operacionais gerais 
da Airbnb e, como a Airbnb está disponível em toda a UE, 
o processamento reclamado foi, portanto, considerado 
de um tipo “….que afeta substancialmente ou é suscetível 
de afetar substancialmente os titulares dos dados em 
mais de um Estado-Membro” (de acordo com a definição 
de tratamento transfronteiriço nos termos do artigo 4.º, 
n.º 23, do RGPD).
Em resposta, a Airbnb explicou que, depois de ter sido informada de 
que o link inicial que enviou ao reclamante não estava operacional, 
enviou um novo link ao reclamante e não tinha conhecimento de que o 
reclamante tivesse tido qualquer dificuldade em aceder a este 
segundo link. No entanto, no interesse de resolver a reclamação 
amigavelmente, a Airbnb concordou em fornecer ao reclamante um 
link adicional para um arquivo de acesso e para que um arquivo 
criptografado fosse enviado ao reclamante por e-mail seguro.
Como resultado, a questão foi resolvida amigavelmente nos 
termos da secção 109(3) da Lei de Proteção de Dados de 2018 
(“a Lei”) e, nos termos da secção 109(3) da Lei, a reclamação 
foi considerada retirada. Este estudo de caso demonstra os 
benefícios – para os reclamantes individuais – da intervenção 
da DPC por meio do processo de resolução amigável.
O reclamante apresentou um pedido de acesso ao Airbnb. A 
Airbnb facilitou este pedido de acesso fornecendo ao reclamante 
um link para um ficheiro de acesso contendo os seus dados 
pessoais.Contudo, quando o queixoso tentou utilizar a ligação, 
esta não estava operacional. Além disso, o reclamante ficou 
frustrado com a dificuldade que enfrentou em contactar a Airbnb 
em relação a este assunto. O queixoso apresentou a sua queixa à 
DPC nesta base.
Neste caso, o envolvimento da DPC permitiu ao queixoso ter acesso aos 
seus dados. Este estudo de caso ilustra com que frequência questões 
simples — como ligações que não funcionam corretamente — podem 
tornar-se reclamações de proteção de dados se a questão não for gerida de 
forma adequada no front-end das equipas de atendimento ao cliente e de 
proteção de dados dos responsáveis pelo tratamento de dados.
A DPC contactou a Airbnb e solicitou que facilitasse o pedido do 
reclamante. A DPC especificou que o Airbnb deveria garantir que 
todos os links enviados aos reclamantes sejam totalmente testados e 
operacionais.
34 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 31
Resolução amigável em reclamações transfronteiriças: 
Google (YouTube)
A DPC recebeu uma reclamação em setembro de 
2020, através do seu formulário web de reclamação, 
contra a Google Ireland Limited (YouTube). A 
reclamação foi feita por um pai agindo em nome de 
seu filho e dizia respeito a um canal/conta do 
YouTube. O canal/conta do YouTube foi criado 
quando a criança tinha dez anos e numa altura em 
que não avaliava as consequências da publicação de 
vídeos online.
Esta reclamação foi identificada como potencialmente passível de 
resolução amigável nos termos da Secção 109 da Lei de Proteção 
de Dados de 2018, com o indivíduo e o Controlador de Dados 
concordando em trabalhar com a DPC para tentar resolver a 
questão amigavelmente. A DPC investigou os antecedentes da 
reclamação e observou que parecia que o Google havia removido 
um vídeo específico da conta, para o qual o URL havia sido 
fornecido, mas não havia removido a conta na sua totalidade, com 
o resultado de que outros vídeos permaneceram on-line .
Embora a reclamação tenha sido apresentada diretamente à DPC por 
um residente irlandês, após avaliação foi considerada uma 
reclamação transfronteiriça porque estava relacionada com as 
políticas operacionais gerais do YouTube e, como o YouTube está 
disponível em toda a UE, o processamento reclamado foi, portanto, 
considerado de um tipo “que afete substancialmente ou seja 
suscetível de afetar substancialmente os titulares dos dados em mais 
de um Estado-Membro” (de acordo com a definição de tratamento 
transfronteiriço nos termos do artigo 4.º, n.º 23, do RGPD).
A DPC comunicou-se com o Google sobre o assunto e 
informou-o sobre os antecedentes específicos da 
reclamação. O Google agiu imediatamente e removeu 
totalmente a conta do YouTube. O Google confirmou que 
surgiu um mal-entendido porque sua equipe de suporte 
avaliou incorretamente o URL de um vídeo específico 
fornecido pelo reclamante, em vez de toda a conta.
A DPC informou os pais do resultado e propôs uma resolução 
amigável para a reclamação. Posteriormente, a mãe 
informou à DPC que recentemente tomou conhecimento de 
outro canal no YouTube criado por seu filho, que novamente 
não estava mais em uso, e que a criança queria ser excluído. 
O DPC manteve correspondência com o Google e o Google 
confirmou que tomou medidas imediatas para remover a 
conta e informou o pai das ações que havia tomado.
Segundo o queixoso, a criança já não tinha controlo sobre 
a conta porque tinha perdido as suas palavras-passe e a 
conta já não estava a ser utilizada. Porém, colegas da 
criança descobriram os vídeos, anteriormente postados 
pela criança, que agora eram motivo de constrangimento 
para a criança. O progenitor da criança manteve extensa 
correspondência com a Google, visando, nomeadamente, 
o apagamento da conta da plataforma YouTube. O 
responsável forneceu o URL de um vídeo específico na 
conta e da própria conta . A controladora foi informada 
pelo Google, em diversas ocasiões, de que havia tomado 
medidas e removido o conteúdo da plataforma. No 
entanto, o pai observou repetidamente que o conteúdo 
não havia sido removido e ainda estava disponível online.
Este caso destaca que a DPC pode ajudar os titulares dos dados durante o 
processo de resolução amigável, explicando os seus pedidos específicos a 
um responsável pelo tratamento de dados, muitas vezes ao nível apropriado, 
quando um indivíduo não teve sucesso no envolvimento inicial com o 
responsável pelo tratamento de dados. Isto permite ainda que a DPC 
monitorize a conformidade dos responsáveis pelo tratamento dos dados, 
tomando nota de quaisquer questões que possam ser repetidas noutras 
reclamações.
RECLAMAÇÕES TRANSFRONTEIRIÇAS 35
ESTUDO DE CASO 32
Resolução amigável em reclamações transfronteiriças — 
Yahoo EMEA Limited
A DPC recebeu uma reclamação em março de 2021 da 
autoridade de proteção de dados da Baviera em nome de 
um reclamante da Baviera contra o Yahoo EMEA Limited. 
No âmbito do mecanismo One Stop Shop (OSS) criado 
pelo GDPR, a localização do principal estabelecimento de 
uma empresa na UE determina qual autoridade da UE 
atuará como autoridade supervisora principal (LSA) em 
relação a quaisquer reclamações recebidas. Uma vez 
estabelecida a autoridade principal, a autoridade que 
recebeu a reclamação atua como autoridade supervisora 
competente (CSA). O CSA é o intermediário entre o LSA e 
o indivíduo. Neste caso, o DPC é a LSA, uma vez que a 
empresa reclamada tem o seu estabelecimento principal 
na Irlanda.
O queixoso não ficou satisfeito com esta solução e apresentou uma 
reclamação à sua autoridade de supervisão local, que encaminhou a 
reclamação para a DPC na sua função de Autoridade de Supervisão 
Principal do Yahoo.
Esta reclamação foi identificada como potencialmente passível de resolução 
amigável ao abrigo da Secção 109 da Lei de Proteção de Dados de 2018, 
com tanto o indivíduo como o responsável pelo tratamento dos dados 
concordando em trabalhar com a DPC para tentar resolver a questão 
amigavelmente.
A DPC contatou o Yahoo sobre o assunto, e o Yahoo adotou uma 
abordagem proativa e imediatamente notou seu desejo de entrar em 
contato diretamente com o reclamante para tentar resolver o 
problema o mais rápido possível. Posteriormente, o Yahoo 
confirmou rapidamente ao DPC que sua equipe de serviços aos 
membros entrou em contato com o reclamante, que forneceu 
informações alternativas que permitiram ao Yahoo validar com êxito 
a identidade do solicitante e, posteriormente, restaurar o acesso à 
sua conta.
O queixoso nesta questão perdeu o acesso à sua conta de 
correio electrónico na sequência de uma actualização no 
seu computador. O queixoso observou que tinha contactado 
a Yahoo para recuperar o acesso e que lhe foram solicitadas 
informações relativas à conta para autenticar a sua 
propriedade. O queixoso afirmou ter fornecido esta 
informação. No entanto, o Yahoo informou ao queixoso que 
não poderia verificar a sua identidade com a utilização das 
informações que lhe foram fornecidas. O queixoso não ficou 
claro se as informações fornecidas não eram correctas e, 
por isso, continuou a dar as mesmas respostas às questões 
de segurança. Como o Yahoo não conseguiu autenticar a 
propriedade da conta do reclamante, recomendou que ele 
criasse uma nova conta de e-mail.
Este caso destaca que um maior envolvimento directo entre as partes 
durante o processo de resolução amigável pode muitas vezes conseguir uma 
resolução rápida para os titulares dos dados. Salienta ainda que uma 
abordagem proactiva por parte dos responsáveis pelo tratamento de dados 
nas fases iniciais de uma reclamação pode muitas vezes resolver questões e 
evitar a necessidade de se envolver num processo demorado de tratamento 
de reclamações.
36 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 33
TikTok e cooperação com outras autoridades de 
proteção de dados da UE
Durante 2021, os pedidos de assistência mútua do artigo 61.º doRGPD foram recebidos pela DPC das autoridades de proteção de 
dados holandesas e francesas. Cada um desses pedidos 
solicitava que a DPC investigasse mais detalhadamente uma 
série de preocupações relacionadas ao processamento de dados 
pessoais de seus usuários pela TikTok, especialmente usuários 
crianças.
as autoridades se certificaram de que o TikTok estava estabelecido 
principalmente na Irlanda.
Como resultado, as autoridades holandesas e francesas concluíram 
que já não tinham competência para investigar o TikTok e, 
consequentemente, transferiram os seus ficheiros de investigação, 
solicitando à DPC que investigasse mais a fundo. Essas investigações, 
juntamente com a identificação das principais preocupações pelo 
próprio DPC por meio do envolvimento ativo com o TikTok em 2021, 
levaram o DPC a iniciar duas investigações por vontade própria, de 
acordo com a Seção 110 da Lei de Proteção de Dados de 2018, em 
relação à conformidade do TikTok com os requisitos do GDPR.
As autoridades em causa estavam a investigar a TikTok antes de a 
empresa localizar o seu estabelecimento principal (sede na UE) na 
Irlanda, em julho de 2020, após o que, em dezembro de 2020, a DPC 
assumiu o papel de autoridade supervisora principal da TikTok, uma 
vez que outras autoridades supervisoras da UE
ESTUDO DE CASO 34
Pedido de eliminação ao Tinder pelo titular dos dados grego, 
tratado pela DPC como Autoridade Supervisora Principal
Este estudo de caso diz respeito a uma reclamação que o 
DPC recebeu através do mecanismo One Stop Shop (OSS) 
criado pelo GDPR de um indivíduo em relação a um 
pedido de apagamento feito por ele à MTCH Technology 
Services Limited (Tinder). A título de informação, a conta 
do indivíduo foi suspensa pelo Tinder. Na sequência 
desta suspensão, o indivíduo apresentou um pedido ao 
Tinder, ao abrigo do artigo 17.º do RGPD, solicitando o 
apagamento de todos os dados pessoais detidos em 
relação a si. Ao entrar em contato com o Tinder, o 
indivíduo também levantou a questão da falta de um 
canal direto para entrar em contato com o DPO do 
Tinder. Como o indivíduo não ficou satisfeito com a 
resposta que recebeu do Tinder, apresentou uma 
reclamação à Autoridade de Supervisão Grega.
e resolução informal da questão em primeira instância. A DPC 
apresentou o conteúdo da reclamação ao Tinder e tratou dela. Em 
resposta e por meio de uma proposta de resolução amigável, o 
Tinder se ofereceu para realizar uma nova revisão da proibição 
que está no centro deste caso. Após esta revisão, o Tinder decidiu 
suspender a proibição. O levantamento de uma proibição por 
parte do Tinder permite que um indivíduo possa acessar sua 
conta na plataforma. O indivíduo pode então decidir se deseja 
usar as ferramentas de autoexclusão para apagar sua conta na 
plataforma Tinder. Além do acima exposto, o Tinder forneceu 
informações ao indivíduo em relação às suas políticas de 
retenção.
Em relação à questão de os indivíduos poderem contactar o seu 
DPO, na sequência do envolvimento do DPC com o Tinder, a 
plataforma concordou em reforçar os seus processos existentes 
publicando uma página dedicada de perguntas frequentes (FAq) 
na sua plataforma. Esta página agora fornece informações 
aprimoradas aos indivíduos sobre questões específicas 
relacionadas ao processamento de dados pessoais e ao exercício 
desses direitos diretamente com o DPO do Tinder. Através da 
Autoridade Supervisora grega, o DPC informou o indivíduo sobre 
as ações tomadas pelo Tinder. Na sua resposta, o indivíduo 
confirmou que estava satisfeito em concluir o assunto e, como tal, 
o assunto foi amigavelmente
O indivíduo afirmou que nem o seu pedido de apagamento nem 
as suas preocupações sobre o acesso aos canais DPO foram 
devidamente atendidas pelo Tinder. Como a DPC é a Autoridade 
Supervisora Principal (LSA) do Tinder, a Autoridade Supervisora 
grega encaminhou a reclamação à DPC para tratamento. A DPC 
interveio para procurar uma solução rápida
RECLAMAÇÕES TRANSFRONTEIRIÇAS 37
resolvido de acordo com a seção 109 (3) da Lei de Proteção de 
Dados de 2018 (a Lei), e a reclamação foi considerada retirada. 
Este estudo de caso demonstra mais uma vez os benefícios — 
para os reclamantes individuais — da abordagem da DPC
intervenção através do processo de resolução amigável. O 
envolvimento da DPC com o controlador também resultou na 
melhoria do Tinder nas informações que disponibiliza a todos os 
seus usuários em sua plataforma.
ESTUDO DE CASO 35
Reclamação transfronteiriça resolvida através do 
procedimento de cooperação da UE
Em fevereiro de 2021, um titular de dados apresentou uma 
reclamação nos termos do artigo 77.º do RGPD à Comissão de 
Proteção de Dados relativamente a um responsável pelo 
tratamento de dados sediado na Irlanda. A DPC foi considerada 
a autoridade competente para efeitos do artigo 56.º, n.º 1, do 
RGPD.
1. O responsável pelo tratamento concordou em cumprir o pedido de 
apagamento; e
2. O responsável pelo tratamento pediu sinceras desculpas pelo erro.
Em janeiro de 2022, a DPC informou por email o titular dos dados 
sobre o resultado final da sua relação com o responsável pelo 
tratamento. Ao fazê-lo, a DPC observou que as ações agora tomadas 
pelo responsável pelo tratamento dos dados pareciam lidar 
adequadamente com as preocupações levantadas na sua reclamação. 
Nestas circunstâncias, a DPC solicitou ao titular dos dados que o 
notificasse, no prazo de dois meses, caso não estivesse satisfeito com 
o resultado, para que a DPC pudesse aprofundar a questão.
Os detalhes da reclamação foram os seguintes:
a . O titular dos dados enviou um e-mail ao responsável pelo tratamento em janeiro de 
2021 para solicitar o apagamento dos seus dados pessoais.
b. O titular dos dados não recebeu qualquer resposta do responsável 
pelo tratamento
No dia seguinte, o titular dos dados informou por email à DPC que 
concordava com a resolução informal, uma vez que as suas 
preocupações relativamente ao responsável pelo tratamento estavam 
agora satisfeitas. A DPC foi posteriormente informada pelo 
responsável pelo tratamento de que o pedido de apagamento foi 
concluído e que os dados pessoais do titular dos dados foram 
apagados.
Após um exame preliminar do material que lhe foi enviado 
pelo queixoso, a DPC considerou que havia uma 
probabilidade razoável de as partes envolvidas chegarem 
a uma resolução informal do assunto da queixa dentro de 
um prazo razoável.
A DPC interagiu tanto com o titular dos dados como com o responsável pelo 
tratamento dos dados em relação ao objeto da reclamação. Na sequência 
desse compromisso, ficou estabelecido que durante a semana em que o 
titular dos dados enviou o seu pedido de apagamento por correio eletrónico 
ao responsável pelo tratamento foi implementado pelo responsável pelo 
tratamento um novo processo para melhor gerir os pedidos de 
apagamento. O responsável pelo tratamento de dados informou a DPC que 
se encontrava num período de transição durante a semana em que o e-mail 
chegou e aparentemente não houve resposta. Novo pessoal estava sendo 
treinado sobre como gerenciar esses tipos de solicitações durante esse 
período de transição. O responsável pelo tratamento afirmou que se tratou 
de um descuido, possivelmente devido à transição técnica ou a erro 
humano, e lamentou o erro. Nestas circunstâncias, o responsável pelo 
tratamento concordou em tomar as seguintes medidas:
Para efeitos do procedimento de consistência e 
cooperação do RGPD, a DPC comunicou um projeto do 
resultado que confirmou que:
• A reclamação, na sua totalidade, foi resolvida 
amigavelmente entre as partes envolvidas;
• A resolução acordada foi tal que o objeto da 
reclamação deixou de existir.
Não foram recebidas objeções relevantes e fundamentadas das 
autoridades de supervisão em causa relativamente ao projeto e a 
DPC posteriormente encerrou o processo neste caso.
38 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
Violaçãode dados
Notificação
ESTUDO DE CASO 36
Falha na implementação das políticas de proteção de dados em vigor
Um funcionário do controlador de dados, um órgão do setor público, perdeu um dispositivo USB não criptografado 
contendo informações pessoais pertencentes a vários colegas e usuários do serviço.
O responsável pelo tratamento público tinha em vigor políticas e procedimentos adequados que proíbem a remoção e o armazenamento de 
dados pessoais do seu sistema central de TI através de dispositivos não encriptados. No entanto, faltou-lhe a supervisão e supervisão adequadas 
necessárias para garantir que as suas regras fossem cumpridas, e o funcionário parecia não ter conhecimento da política relativa à utilização de 
dispositivos não encriptados. A violação poderia ter sido evitada se a organização tivesse implementado totalmente a política e alertado a equipe 
sobre ela
ESTUDO DE CASO 37
Dispositivo USB não criptografado perdido na postagem
Um controlador de dados do setor privado notificou a DPC de que um pacote contendo formulários de consentimento e um 
dispositivo USB não criptografado havia sido enviado por meio de serviços postais padrão.
No entanto, o pacote foi danificado durante o transporte, fazendo com que o dispositivo USB caísse e se perdesse. O dispositivo USB 
continha fotografias de menores participando num evento educativo organizado. A potencial perda/divulgação dos dados pessoais 
contidos no dispositivo USB poderia ter sido evitada/mitigada se o controlador de dados tivesse implementado e implementado uma 
política de criptografia em torno do uso de dispositivos de memória portáteis e uma política adequada relativa ao envio de material 
sensível através do correio , por exemplo, serviço de correio registrado/courier.
40 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 38
Phishing de site
Um controlador de dados do setor privado (educacional) 
relatou um incidente de phishing, em que um membro 
da equipe clicou em um link de site suspeito e inseriu 
suas credenciais, resultando no comprometimento de 
sua conta de e-mail.
O responsável pelo tratamento de dados não ativou a autenticação 
multifator nas suas contas de e-mail. Se esta medida técnica e a formação 
adequada em segurança cibernética tivessem sido implementadas desde o 
início, esta violação de dados poderia ter sido evitável.
ESTUDO DE CASO 39
Perda de arquivos em papel em trânsito
O controlador de dados, órgão público, notificou a 
Comissão de Proteção de Dados (DPC) sobre um 
incidente envolvendo o transporte de arquivos jurídicos 
impressos contendo dados pessoais de categoria 
especial.
perda de dados pessoais. O responsável pelo tratamento não 
tinha procedimentos suficientes para a remoção e 
armazenamento seguros de ficheiros impressos que continham 
dados pessoais de categoria especial. A violação poderia ter sido 
evitada se a organização tivesse considerado adequadamente os 
seus requisitos ao transportar tais materiais para outro local e os 
riscos inerentes envolvidos em tais atividades, e implementado 
medidas mais seguras para garantir a proteção dos dados 
pessoais.
O controlador contratou uma empresa de courier para transportar os 
arquivos para outro departamento, mas os arquivos desapareceram 
durante o transporte. Descobriu-se que o controlador não manteve um 
backup dos arquivos originais, resultando em um
ESTUDO DE CASO 40
Ataque de troca de SIM
Um titular de dados notificou o responsável pelo tratamento de 
dados (um operador de rede de telefonia móvel) de que uma 
troca de cartão SIM foi solicitada e autorizada na sua conta de 
telemóvel por um terceiro não autorizado.
O agente de atendimento ao cliente do controlador de dados não 
seguiu totalmente o processo de validação e facilitou a troca do cartão 
SIM na conta do cliente, contrariando a política do controlador. A 
violação não teria ocorrido se o controlador tivesse processos mais 
robustos que impedissem o acesso às principais informações da conta 
e se o agente de atendimento ao cliente tivesse recebido treinamento 
suficiente em proteção de dados, inclusive sobre os riscos 
representados aos dados pessoais do cliente ao se desviar da política 
de validação da empresa.
A pessoa em causa estava preocupada porque o seu número de telemóvel 
tinha sido utilizado para receber mensagens de texto para autenticação de 
dois fatores do seu banco em relação ao seu serviço bancário. Uma 
investigação mais aprofundada realizada pelo responsável pelo 
tratamento dos dados indicou que um terceiro desconhecido obteve 
dados pessoais limitados pertencentes ao titular dos dados por alguns 
meios externos e conseguiu passar nos processos de validação de 
identidade do responsável pelo tratamento.
ESTUDO DE CASO 3 6 41
ESTUDO DE CASO 41
Perda de controle de arquivos em papel
Um prestador de serviços de saúde do sector público 
notificou a DPC de que vários ficheiros contendo 
informações médicas de pacientes tinham sido encontrados 
num armário nas instalações de um hospital que já não 
estava ocupado.
violação, um representante da organização foi enviado para 
localizar e proteger os arquivos. Os arquivos foram removidos 
do local e protegidos.
Esta violação destaca a importância de ter políticas adequadas de 
gestão de registos; incluindo mecanismos para rastrear arquivos, 
instalações seguras de armazenamento adequadas e procedimentos 
completos para retenção ou exclusão de registros. A DPC emitiu uma 
série de recomendações às organizações para melhorarem as suas 
práticas de processamento de dados pessoais.
Os registros foram descobertos por uma pessoa que 
acessou ilegalmente um local restrito e posteriormente 
postou nas redes sociais fotos do gabinete contendo os 
arquivos. A organização do sector público em causa 
informou a DPC que, tendo tomado conhecimento da
ESTUDO DE CASO 42
Ataque de ransomware
Uma organização que opera na indústria do lazer notificou a 
DPC de que tinha sido vítima de um ataque de ransomware, 
que potencialmente encriptou/divulgou os dados pessoais de 
até 500 clientes e funcionários armazenados no servidor da 
organização. A rota da infiltração foi rastreada até um 
roteador de modem que havia sido comprometido (no 
entanto, os dados de backup foram armazenados de forma 
segura através de um servidor em nuvem).
A DPC recomendou que a organização conduzisse uma análise da sua 
infra-estrutura de TIC para determinar se havia mais malware 
presente, para rever e implementar medidas apropriadas para garantir 
que existe um nível adequado de segurança em torno do 
processamento de dados pessoais, e para realizar formação de 
funcionários para abranger riscos de segurança cibernética. A DPC tem 
recebido atualizações regulares da organização e está satisfeita com o 
facto de terem sido tomadas medidas significativas para melhorar e 
implementar medidas organizacionais e técnicas relativas às 
deficiências na segurança da sua infraestrutura de TIC, incluindo o 
desenvolvimento de um plano de formação para todo o pessoal nesta 
área. .Após a análise do incidente, a DPC emitiu uma série 
de recomendações à organização.
ESTUDO DE CASO 43
Divulgação de imagens de CFTV através das redes sociais
Uma empresa de gestão de imóveis comerciais e 
residenciais notificou a DPC de que um funcionário de 
uma empresa de segurança cujos serviços 
contrataram utilizou o seu telemóvel pessoal para 
gravar imagens CCTV de dois membros do público 
envolvidos num ato íntimo, que foram captadas pela 
administração câmeras de segurança da empresa.
O vídeo gravado foi posteriormente compartilhado via 
WhatsApp para um número limitado de pessoas. A 
empresa informou à DPC que comunicou aos funcionários 
que possam ter recebido a filmagem que deveriam excluí-la 
e não solicitou mais divulgação do vídeo.
Tanto a empresa de gestão de propriedades como a empresa de 
segurança conseguiram demonstrar que existiam políticas e 
procedimentos adequados, emboraa supervisão apropriada
42 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
e faltava supervisão para garantir o cumprimento destas 
políticas e procedimentos.
treinamento em proteção de dados com ênfase em violações de 
dados pessoais. Além disso, foi exibida sinalização adicional 
proibindo o uso de dispositivos móveis pessoais dentro dos 
limites da sala de controle do CCTV.
Seguindo as recomendações feitas pela DPC à empresa 
de gestão imobiliária, a empresa posteriormente 
contratou o seu pessoal para fornecer mais
ESTUDO DE CASO 44
Notificação de violação (setor voluntário) — 
Ataque de ransomware
Em maio de 2020, a DPC recebeu uma notificação de violação de 
um processador de dados irlandês e, posteriormente, uma 
notificação de um responsável pelo tratamento de dados irlandês 
que opera no setor voluntário e que contratou esse processador 
para fornecer serviços de alojamento web e de gestão de dados.
A DPC interagiu tanto com o responsável pelo tratamento como com 
o subcontratante através de uma série de comunicações — incluindo 
a emissão de questionários técnicos e organizacionais centrados em 
áreas de potencial não conformidade com a regulamentação de 
proteção de dados. Essas áreas incluíam
a utilização pelo processador de um centro de dados nos EUA para 
armazenar dados de cópia de segurança sem acordos adequados — e 
supervisão suficiente por parte do responsável pelo tratamento sobre 
o seu processador — conforme exigido pelo artigo 28.º do RGPD. A DPC 
envolveu-se intensamente com ambas as partes e concluiu este caso 
emitindo recomendações tanto ao controlador como ao processador. 
Posteriormente, a DPC continuou a colaborar com ambas as partes 
para garantir que a implementação das recomendações da DPC tivesse 
ocorrido.
A violação estava relacionada a um ataque de ransomware que 
ocorreu no data center utilizado pelo processador de dados e que foi 
o resultado de malware obtendo acesso por meio de uma porta 
Remote Desktop Protocol (RDP) 1 ao servidor.
ESTUDO DE CASO 45
Notificação de violação (setor público) 
publicação errônea no Twitter
Uma organização do setor público notificou a DPC de que 
tinha publicado inadvertidamente dados pessoais através da 
sua plataforma de redes sociais (Twitter).
Os dados pessoais foram publicados em violação da sua política 
de anonimização de todo o conteúdo, o que poderia 
potencialmente identificar um titular de dados individual. A 
organização em questão informou a DPC que a causa deste 
incidente foi um erro humano e que o tweet ofensivo foi removido 
sem demora injustificada. Com base nas medidas tomadas pelo 
responsável pelo tratamento de dados para mitigar o risco de 
recorrência deste tipo de incidente, a DPC concluiu a sua análise 
desta questão e emitiu uma série de recomendações adicionais à 
organização centradas na utilização adequada das suas 
plataformas de redes sociais e como suas contas de mídia social 
devem ser protegidas e limitadas a um número específico de 
pessoal autorizado.
ESTUDO DE CASO 3 6 43
ESTUDO DE CASO 46
Notificação de violação (setor financeiro) Dados 
bancários enviados por WhatsApp
Uma organização do sector financeiro privado notificou 
a DPC de que um cliente tinha feito um pedido para 
obter os seus números IBAN e BIC, que foram 
mantidos em arquivo. O cliente que fez a solicitação 
era conhecido pessoalmente pelo funcionário que 
tratava da solicitação. O colaborador, desviando-se das 
práticas aprovadas, utilizou o seu telemóvel pessoal 
para enviar uma fotografia do que considerava ser a 
informação solicitada através de uma plataforma de 
mensagens (WhatsApp). No entanto, o funcionário 
enviou erroneamente detalhes pertencentes a outro 
cliente ao cliente solicitante.
não estão relacionados com a sua conta e que se comprometeram a 
eliminar todo o material ofensivo do seu dispositivo. A organização 
comunicou-se com os funcionários para lembrá-los de que apenas 
métodos de comunicação autorizados deveriam ser utilizados no 
tratamento de futuras solicitações desta natureza. A organização 
também emitiu um pedido de desculpas a todos os titulares de dados 
afetados.
A DPC emitiu uma série de recomendações que abrangem a utilização 
apenas de ferramentas de comunicação organizacional aprovadas, 
tornando o pessoal plenamente consciente do comportamento 
aceitável e não aceitável ao utilizar ferramentas de comunicação 
organizacional, e para garantir que o pessoal tenha recebido formação 
adequada em termos das suas obrigações/responsabilidades ao abrigo 
as disposições do GDPR e da Lei de Proteção de Dados de 2018.O cliente que recebeu esta informação contactou a 
organização para informar que a informação recebida não
ESTUDO DE CASO 47
Erro de codificação do processador de notificação de 
violação (12 cooperativas de crédito)
A DPC recebeu relatórios de violação separados de 12 
cooperativas de crédito que empregavam os serviços do 
mesmo processador, com sede no Reino Unido. A violação 
por parte do subcontratante resultou de um erro de 
codificação cometido pelo subcontratante na 
implementação de medidas introduzidas em resposta à 
pandemia de Covid-19.
reembolsos sem afetar negativamente as classificações de crédito dos 
mutuários. Os credores foram instruídos a usar códigos específicos nas 
declarações do CCR para sinalizar empréstimos pausados. O objectivo era 
evitar que esses empréstimos fossem interpretados como inadimplentes ou 
que de outra forma sugerissem que a solvabilidade dos mutuários 
relevantes se tinha deteriorado.
Neste incidente, o processador empregado pelas 12 cooperativas de crédito 
utilizou códigos incorretos nas declarações do CCR referentes a 
empréstimos pausados. Os códigos incorrectos indicavam que os mutuários 
afectados tinham passado por um «evento de reestruturação» — um evento 
de reestruturação ocorre normalmente quando um mutuário não consegue 
reembolsar um empréstimo durante o período acordado e o mutuante 
concorda em alterar os termos do empréstimo para melhorar a capacidade 
do mutuário de retribuir. Isto pode reduzir significativamente a classificação 
de crédito de um mutuário, pelo que um registo CCR impreciso de um 
evento de reestruturação pode ter consequências graves para as pessoas 
afetadas.
As cooperativas de crédito são obrigadas a reportar informações ao Banco 
Central da Irlanda relativas aos seus mutuários e ao desempenho dos seus 
empréstimos. O Banco Central utiliza essas informações para manter a 
Central de Responsabilidades de Crédito (ou CCR). Os credores e as agências 
de classificação de crédito, por sua vez, utilizam essas informações para 
verificar as dívidas e os históricos de crédito dos mutuários. Um grande 
número de credores, especialmente cooperativas de crédito, utiliza os 
serviços de empresas de processamento de dados para preparar essas 
declarações de CCR e encaminhá-las ao Banco Central.
Durante 2020, o governo irlandês introduziu uma série de medidas para 
mitigar as dificuldades financeiras causadas pela pandemia e pelos 
confinamentos resultantes. Estas incluíram medidas que permitiram às 
instituições financeiras suspender os empréstimos
As cooperativas de crédito em questão tomaram conhecimento do erro de 
codificação do processador em relação às suas declarações de CCR várias 
semanas depois que o processador enviou pela primeira vez as declarações de 
CCR para elas usando os códigos incorretos ao Banco Central.
44 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
O problema foi relatado à DPC como uma violação e as cooperativas de 
crédito abordaram o assunto diretamente com o processador e por meio 
de um grupo de usuários. Isto permitiu que os registros afetados fossem 
identificados, que os procedimentos de codificação apropriados fossem 
elaborados e que as declarações corrigidas do CCR fossem enviadas ao 
Banco Central.
Estes casos ilustram a importância do processamento de contratos 
que implementemadequadamente os requisitos do artigo 28.º do 
RGPD. Mais relevante para estes casos, os contratos de 
processamento devem prever que o processador ajude o 
responsável pelo tratamento no cumprimento das suas obrigações 
de segurança do processamento e de comunicação e resposta a 
violações.
ESTUDO DE CASO 48
Violações semelhantes repetidas
Durante um período de 12 meses, a DPC recebeu 
notificações de uma série de violações semelhantes de 
um controlador de dados envolvido em questões 
financeiras. O controlador vendia serviços por meio de 
uma rede varejista nacional pertencente e operada por 
um terceiro, que atuava como seu processador. As 
violações ocorreram quando clientes existentes do 
controlador faziam compras nos pontos de venda do 
processador, mas usavam um endereço diferente 
daquele que haviam cadastrado anteriormente no 
controlador.
Quando a DPC sinalizou o padrão de violações, o controlador 
concordou que havia um problema sistêmico que exigia atenção da 
sua alta administração. Enquanto uma solução técnica estava a ser 
concebida e testada, o controlador e o processador adoptaram 
medidas provisórias, incluindo a reciclagem do pessoal, o aumento da 
supervisão e um aviso que apareceu nos ecrãs utilizados pelo pessoal 
do processador ao efectuar vendas, solicitando-lhes que confirmassem 
que a situação actual do cliente o endereço cadastrado estava correto. 
O controlador implementou as mudanças em seus sistemas de TI para 
evitar o envio de documentos de vendas para endereços incorretos de 
clientes, e as violações recorrentes cessaram.
Este caso demonstra como a DPC monitoriza as violações notificadas ao abrigo do 
artigo 33.º do RGPD para identificar problemas sistémicos, seja em controladores 
individuais, tipos de indústria ou setores económicos. Mostra também como as 
alterações destinadas a melhorar os sistemas de informação podem ter efeitos 
secundários imprevistos que afectam negativamente os titulares dos dados e o 
responsável pelo tratamento. Por último, destaca que os responsáveis pelo 
tratamento devem monitorizar o desempenho dos acordos de tratamento para 
garantir que os responsáveis pelo tratamento compreendem e seguem 
claramente os procedimentos de tratamento de dados pessoais.
As alterações recentes nos sistemas de base de dados de clientes do 
responsável pelo tratamento não foram totalmente coordenadas com os 
sistemas de vendas, resultando no envio de documentos de vendas 
contendo dados pessoais para os endereços antigos dos clientes, em vez 
de para os novos. O controlador instruiu o processador a não aceitar 
solicitações de compra até que as mudanças de endereço fossem 
registradas, mas alguns funcionários do balcão não seguiram 
consistentemente os procedimentos corretos.
ESTUDO DE CASO 49
Divulgação não autorizada decorrente de videoconferência
Um instituto educacional utilizou um aplicativo de 
videoconferência para permitir que os alunos fizessem 
apresentações aos palestrantes, enquanto as restrições da 
pandemia impediam reuniões presenciais. Para possibilitar o 
compartilhamento com examinadores externos, que é uma 
exigência, as apresentações foram gravadas. Todos os 
participantes estavam cientes deste acordo, embora não se 
pretendesse que os alunos tivessem acesso às gravações das 
suas apresentações.
Dois grupos de estudantes fizeram apresentações aos professores em 
sessões separadas. Após cada sessão, os docentes discutiram entre si 
o trabalho dos alunos. Essas discussões também foram gravadas, 
embora a intenção fosse editá-las antes de compartilhar as gravações 
com examinadores externos. Acreditava-se erroneamente que as 
gravações salvas eram acessíveis apenas aos palestrantes. Na 
verdade, todos os participantes convidados, incluindo os alunos que 
apresentaram, tiveram acesso às gravações das suas sessões e 
receberam automaticamente por e-mail um link para o arquivo 
relevante em
ESTUDO DE CASO 3 6 45
servidor da instituição. Como resultado, os alunos tiveram acesso à 
discussão dos professores sobre o trabalho de outros alunos, que 
incluía comentários pessoais sobre alguns dos alunos.
recomendações sobre o uso de equipamentos de TI, incluindo 
videoconferência, e sobre medidas para garantir que funcionários e 
alunos entendam e cumpram as políticas relevantes de proteção de 
dados.
Estes foram acessados por vários estudantes. Nos dias 
seguintes, trechos circularam em aplicativos de mensagens e 
redes sociais.
Este caso destaca os riscos potenciais decorrentes do uso de 
videoconferência e tecnologias similares. Os responsáveis pelo tratamento 
de dados devem garantir que as pessoas que operam estas aplicações estão 
familiarizadas com a forma como funcionam e garantir que o fazem em 
conformidade com a legislação de protecção de dados. Os responsáveis 
pelo tratamento devem garantir que as políticas e procedimentos de 
protecção de dados reflectem plenamente as práticas e tecnologias que 
utilizam no tratamento de dados pessoais.
A organização comunicou a violação à DPC, que confirmou 
que as gravações acessíveis aos alunos foram apagadas, e 
esclareceu as diligências tomadas pela organização para que 
os trechos fossem retirados das redes sociais onde haviam 
sido postados. A DPC concluiu a sua avaliação da violação com 
recomendações abrangentes.
ESTUDO DE CASO 50
Divulgação devido a e-mail mal direcionado
Foi recebida uma notificação de um órgão estatutário 
cujas funções incluem a investigação de reclamações 
relativas à conduta profissional, formação ou competência 
de peritos. A violação de dados pessoais ocorreu quando 
uma carta referente a uma reclamação contra um 
especialista foi anexada a um e-mail e enviada para um 
endereço incorreto. O anexo continha dados pessoais de 
diversas pessoas, incluindo dados de saúde, e estava 
criptografado. No entanto, a senha da carta criptografada 
foi emitida em um e-mail separado para o mesmo 
endereço incorreto.
da violação, os riscos e as medidas tomadas em resposta a eles, 
conforme exigido pelo Artigo 34 do GDPR. A DPC lembrou a 
organização da sua obrigação contínua de proteger os dados 
pessoais que foram divulgados acidentalmente e da 
importância de garantir a segurança ao enviar dados pessoais 
por e-mail. O órgão estatutário realizou uma revisão de todos os 
seus processos, políticas e procedimentos de proteção de 
dados.
E-mails endereçados incorretamente são uma das causas mais 
comuns de violações denunciadas à DPC. A criptografia é uma 
ferramenta valiosa que pode ajudar a proteger contra divulgações 
acidentais. No entanto, é aconselhável utilizar um meio separado – 
como uma chamada telefônica ou mensagem SMS – para enviar a 
senha, pois um único erro no endereço de e-mail pode anular os 
benefícios.
A natureza dos dados pessoais e o contexto indicaram um 
elevado risco para os titulares dos dados. A DPC confirmou, 
portanto, que todas as pessoas afetadas foram notificadas
ESTUDO DE CASO 51
Descarte inadequado de materiais 
por instituição de ensino
Uma universidade focada em ciências da saúde notificou 
a DPC sobre uma violação decorrente do descarte 
inadequado de materiais contendo dados pessoais. 
Devido às restrições da pandemia, um funcionário 
trabalhou em casa em um projeto de recrutamento. O 
funcionário trabalhou em cópias impressas de uma série 
de formulários de emprego e acompanhamento
Currículos. A organização instruiu os funcionários que 
trabalham em casa a minimizar a impressão e a destruir 
documentos antes de descartá-los. No entanto, o 
funcionário colocou os documentos de recrutamento 
intactos num contentor de reciclagem doméstico. Os ventos 
fortes fizeram com que o conteúdo da lixeira, incluindo os 
documentos de recrutamento, fosse disperso.
46 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
Ao concluir a análise da violação, a DPC fez uma série de 
recomendações. Estas centraram-se não apenas nas práticas de 
trabalho dos funcionários,mas, mais importante ainda, nas 
medidas técnicas e organizacionais do controlador. Embora seja 
importante que o pessoal compreenda e implemente boas 
práticas de proteção de dados, é da responsabilidade do 
responsável pelo tratamento garantir que o faz e que dispõe dos 
meios — incluindo, quando apropriado, dispositivos como 
trituradores — para fornecer o padrão de proteção exigido. .
Este caso também ilustra como trabalhar a partir de casa pode alterar o 
ambiente ou os hábitos de trabalho das pessoas de formas que podem 
representar riscos para os dados pessoais. As instalações do escritório, 
como a destruição confidencial, a impressão segura ou mesmo salas 
privadas para discussões, nem sempre estão disponíveis ou são viáveis 
em casa . À medida que aumenta o número de pessoas que trabalham 
remotamente, os controladores devem rever e adaptar os seus recursos, 
políticas e procedimentos para garantir que são adequados aos riscos 
apresentados e ao ambiente em que ocorrem.
ESTUDO DE CASO 52
Endereços de e-mail divulgados por correio de grupo
A DPC recebeu uma notificação de violação de uma 
instituição de caridade que apoia pessoas com deficiência 
intelectual. A violação ocorreu quando um boletim 
informativo por e-mail foi endereçado aos destinatários 
usando o campo Carbon Copy (CC) em vez do campo Blind 
Carbon Copy (BCC). O resultado foi que os endereços de e-
mail de todos os destinatários foram divulgados para quem 
leu o e-mail. Este é um tipo comum de violação de dados 
pessoais que muitas vezes resulta de um simples erro 
humano e que geralmente apresenta riscos baixos. Embora 
os riscos apresentados neste caso possam não ter sido 
significativos, investigações adicionais e uma análise de 
submissões anteriores à DPC indicaram uma fraca 
consciência das questões e responsabilidades de protecção 
de dados entre o pessoal e os voluntários da instituição de 
caridade.
Após o envolvimento com a DPC, a organização introduziu formação 
sobre protecção de dados para funcionários e voluntários, e avançou 
para criar uma nova função de gestão com responsabilidade pela 
conformidade da protecção de dados em toda a organização .
As instituições de caridade tratam frequentemente dados pessoais 
de pessoas vulneráveis, muitas vezes incluindo dados de categorias 
especiais, como informações relativas à saúde . A protecção de 
dados é um direito fundamental na União Europeia e a protecção 
dos direitos das pessoas vulneráveis requer cuidado, planeamento 
e medidas organizacionais cuidadosas. O trabalho árduo e a boa 
vontade do pessoal e dos voluntários devem ser acompanhados por 
recursos adequados de gestão e conformidade para garantir a 
protecção dos direitos dos dados pessoais.
ESTUDO DE CASO 53
Ataque de Engenharia Social
Um escritório de advocacia de médio porte relatou ter sido 
vítima de um ataque de engenharia social. Um membro da 
equipe abriu um e-mail de um terceiro mal-intencionado que 
instalou secretamente malware em seu computador. O 
malware permitiu monitorar as comunicações por e-mail e 
permitiu que o malfeitor fraudasse um cliente em uma 
quantia em dinheiro. A empresa relatou a violação à DPC.
configurações de segurança, como senhas fortes, não foram aplicadas 
adequadamente e a autenticação multifator não foi implementada. Ao 
tomar conhecimento do incidente, a empresa encomendou 
imediatamente uma investigação completa para estabelecer a causa 
raiz e a extensão da violação. Com base nas conclusões da 
investigação, a empresa respondeu prontamente e implementou 
medidas técnicas de segurança adicionais, bem como formação 
adicional em segurança cibernética e proteção de dados para todo o 
pessoal. O
Através do seu envolvimento da DPC com a empresa, a DPC 
estabeleceu que a empresa utilizava um serviço de e-mail na nuvem 
amplamente utilizado, gerido por um contratante . Básico
A DPC solicitou que fossem fornecidas atualizações sobre a 
implementação de medidas organizacionais e técnicas apropriadas.
ESTUDO DE CASO 3 6 47
medidas de segurança para evitar a recorrência de uma violação 
semelhante.
provedor para funções como e-mail ou contrata terceiros para 
gerenciar aplicativos . Os responsáveis pelo tratamento e 
subcontratantes devem ainda garantir que dispõem de medidas de 
segurança adequadas a qualquer risco que possa representar para os 
dados pessoais pelos quais são responsáveis.
Este caso demonstra em termos claros que uma organização 
não pode presumir que possui medidas adequadas em vigor 
simplesmente porque utiliza um serviço estabelecido
ESTUDO DE CASO 54
Dados imprecisos que conduzem a um risco potencial elevado resultante de 
dados imprecisos da Central de Responsabilidades de Crédito
A DPC recebeu uma notificação de um responsável pelo 
tratamento de dados do sector financeiro relativa a um 
indivíduo cuja conta tinha sido comunicada 
incorrectamente à Central de Registo de Crédito (CCR). O 
controlador comprou a conta do indivíduo como parte de 
uma venda de carteira em 2015 e não tinha conhecimento 
de que o indivíduo havia sido declarado falido em 2014. Os 
indivíduos que foram declarados falidos estão fora do 
âmbito das obrigações de comunicação ao CCR. 
Adicionalmente, as contas com retornos anteriores ao 
início do CCR em 30 de junho de 2017 não lhe são 
reportáveis.
as liberdades do indivíduo foram avaliadas como elevadas e a 
violação foi, portanto, comunicada pelo responsável pelo 
tratamento ao indivíduo nos termos do artigo 34.º do RGPD. A 
DPC confirmou junto ao controlador que o registro CCR da 
pessoa física foi alterado. A título de mitigação, o controlador 
introduziu medidas que exigem que os vendedores de 
carteiras divulguem informações sobre indivíduos, como 
falências. Este caso destaca a importância de dispor de 
sistemas para garantir a segurança e a integridade dos dados 
pessoais nos termos do artigo 5.º, n.º 1, alínea f), do RGPD. Os 
responsáveis pelo tratamento devem estar cientes dos 
dados pessoais que detêm sobre indivíduos e implementar 
medidas para validar e compreender os dados quando os 
adquirem a terceiros. O caso também demonstra que os 
controladores têm o dever de impedir qualquer alteração ou 
divulgação não autorizada de dados pessoais,
O indivíduo teve dificuldade em obter um empréstimo porque o 
seu registo CCR, que é visível para outras instituições de crédito, 
foi reportado erroneamente pelo controlador como ativo e em 
atraso. O risco para os direitos e
ESTUDO DE CASO 55
Hacking de e-mail de terceiros
Um Hospice Care Center (controlador de dados) utiliza os 
serviços do Microsoft Office 365, um serviço de e-mail 
baseado em nuvem e também contrata consultores de TI 
terceirizados. Uma auditoria do Office 365 foi conduzida 
trimestralmente pelo provedor de TI, onde uma série de 
recomendações do provedor de serviços foram identificadas, 
incluindo, mas não se limitando a, todas as contas de usuário 
para terem autenticação multifator (MFA) e a desativação de 
regras de encaminhamento em todas as contas. As 
credenciais de um usuário foram posteriormente 
comprometidas e os consultores de TI estabeleceram que as 
credenciais foram obtidas como resultado de um ataque de 
força bruta, que pode ter sido
evitada se o responsável pelo tratamento tivesse introduzido 
a autenticação multifator, conforme recomendado no 
momento da auditoria. Seguindo o conselho dos consultores 
de TI, a senha do usuário comprometido foi redefinida e a 
MFA introduzida para esse usuário. O responsável pelo 
tratamento iniciou agora a introdução do MFA a todos os 
utilizadores. Esta violação provavelmente poderia ter sido 
evitada se as recomendações da auditoria tivessem sido 
introduzidas em tempo hábil.
48 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
Divulgação /
Não autorizado
Divulgação
ESTUDO DE CASO 56
Informações financeiras enviadas erroneamente para um 
restaurante (lei aplicável — Leis de proteção de dados de 1988
e 2003 (os Atos))Recebemos uma reclamação relativa à alegada divulgação, 
por parte de um concessionário automóvel, dos dados 
pessoais dos reclamantes a terceiros. Os reclamantes 
forneceram à concessionária cópias de suas carteiras de 
motorista e dados bancários, incluindo extratos bancários e 
dados completos da conta, para a compra de um carro por 
meio de um Plano de Contrato Pessoal. Posteriormente, 
eles foram copiados em um e-mail da concessionária para 
um endereço de e-mail de terceiros, que se acredita ser um 
endereço associado a um banco, que continha as carteiras 
de motorista e os dados bancários dos reclamantes. Os 
reclamantes estavam preocupados com o fato de o 
endereço do terceiro ser o de um restaurante e contataram 
a concessionária sobre isso, mas foram garantidos que o 
endereço de e-mail em questão pertencia a um banco e era 
seguro.
para o endereço em questão e a resposta recebida 
confirmou que se tratava de um restaurante.
No decorrer da nossa análise, a concessionária aceitou que o 
e-mail havia sido enviado por engano para o endereço errado. 
Não obstante este reconhecimento, ficou claro que nenhuma 
tentativa posterior foi feita para contactar o restaurante a fim 
de solicitar que a informação enviada erroneamente fosse 
apagada pelo destinatário involuntário. Por instrução deste 
escritório, recebemos a confirmação de que a concessionária 
havia entrado em contato com o restaurante e solicitado a 
exclusão do e-mail, inclusive dos documentos. A 
concessionária apresentou proposta de resolução amigável 
que foi aceita pelos reclamantes.
Este caso demonstra que é vital que os responsáveis pelo tratamento 
de dados (e os seus colaboradores) implementem e garantam uma 
prática de medidas de precaução na transmissão eletrónica de dados 
pessoais, nomeadamente informação financeira. Uma grande 
proporção das notificações de violação de dados que a Comissão de 
Proteção de Dados (DPC) recebe são do tipo divulgação não 
autorizada, sendo que uma causa comum são e-mails enviados por 
engano para o endereço errado . Quando um responsável pelo 
tratamento identifica que tal incidente ocorre, não é suficiente 
reconhecê-lo, seja ao titular dos dados ou
Os reclamantes continuaram preocupados com a propriedade do 
endereço de e-mail, realizaram pesquisas on-line sobre o assunto 
e estavam confiantes de que o endereço de e-mail era de um 
restaurante. Para confirmar suas suspeitas, um amigo dos 
denunciantes enviou um e-mail
50 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ao DPC. Em vez disso, cabe ao responsável pelo tratamento de 
dados tomar todas as medidas razoáveis para remediar tal 
violação. Isso inclui recuperar o e-mail do remetente, pedir ao 
destinatário não intencional que confirme que excluiu o e-mail e, 
posteriormente, implementar medidas para evitar
uma recorrência. O erro humano cometido pelo pessoal apresenta um elevado 
risco de violações de dados de forma contínua e é extremamente importante que 
sejam feitos esforços para mitigar esses riscos, promovendo a sensibilização para 
a protecção de dados em toda a organização, especialmente no que diz respeito 
aos novos funcionários.
ESTUDO DE CASO 57
Violação de dados de OSC — Divulgação de dados P45 (lei aplicável 
— Leis de proteção de dados de 1988 e 2003)
Recebemos várias reclamações no final de 2017 contra o 
Gabinete Central de Estatística (o CSO), cada uma alegando 
que o CSO tinha divulgado os dados pessoais dos respetivos 
reclamantes sem o seu consentimento ou conhecimento. As 
reclamações estavam relacionadas com uma violação de 
dados que o CSO nos tinha comunicado anteriormente (ao 
abrigo do Código de Prática voluntária sobre violação de 
dados pessoais) e aos indivíduos afetados.
também nos informou que, após a violação de dados, implementou uma 
série de novos procedimentos para lidar com solicitações P45, incluindo 
uma regra de que as solicitações P45 deveriam ser respondidas apenas por 
correio a partir de agora.
Esta violação de dados teve impacto nos milhares de indivíduos 
cujos dados pessoais estavam contidos nos ficheiros que foram 
divulgados ilegalmente aos três antigos recenseadores. O 
incidente ocorreu essencialmente em triplicado porque os 
arquivos divulgados erroneamente foram anexados a três 
comunicações enviadas separadas. Este incidente teria sido 
evitável se a OSC tivesse implementado os processos apropriados 
para a supervisão da divulgação de dados pessoais relacionados 
com impostos.
A violação de dados originou-se de ações tomadas pelo CSO em 
resposta a três solicitações durante um período de cinco dias de 
antigos recenseadores do censo que buscavam suas informações 
P45. E-mails com anexos em PDF contendo P45 e P45 próprios de 
milhares de terceiros foram enviados aos recenseadores 
solicitantes. O CSO nos informou que a violação de dados foi 
identificada quando um membro da equipe do CSO revisou a caixa 
de correio de itens enviados do CSO relevante, como parte das 
práticas padrão de devida diligência do CSO. O CSO confirmou 
que as informações P45 de terceiros divulgadas continham dados 
pessoais, incluindo PPSNs, datas de nascimento, endereços e 
detalhes de rendimentos de emprego como recenseadores do 
censo.
A DPC emitiu uma série de decisões individuais relativamente a 
reclamações relacionadas com esta violação, concluindo em 
cada caso que ocorreu uma violação da Secção 2A(1) das Leis 
de Protecção de Dados de 1988 e 2003, na medida em que os 
dados pessoais foram processados sem uma base jurídica, 
como ficou claro no relatório de violação apresentado à DPC 
pelo CSO. Depois de examinar as novas medidas 
implementadas pela OSC para evitar uma recorrência, a DPC 
ficou convencida de que elas abordaram de forma abrangente 
as falhas que provocaram este incidente. Contudo, na 
perspetiva de garantir a licitude do tratamento e a segurança e 
confidencialidade dos dados pessoais na posse do OSC, aqueles 
novos procedimentos organizativos serviram apenas para 
sublinhar a inadequação das anteriores medidas de resposta 
aos pedidos de informação de natureza fiscal.
Durante a nossa investigação, o CSO informou-nos que, ao 
descobrir a violação, notificou os destinatários do erro, que 
posteriormente confirmaram por escrito que tinham 
eliminado os ficheiros. A OSC informou-nos que também 
notificou os indivíduos afectados dos factos da violação no 
que se refere a cada indivíduo. O OSC
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 51
ESTUDO DE CASO 58
Transcrição do webchat da Ryanair enviada a outro cliente 
(lei aplicável — GDPR e Lei de Proteção de Dados de 2018)
Recebemos uma reclamação de um titular de dados 
cujo webchat com um funcionário da Ryanair foi 
acidentalmente divulgado pela Ryanair num e-mail a 
outro indivíduo que também utilizou o serviço de 
webchat da Ryanair. A transcrição do webchat 
continha detalhes do nome do reclamante e do seu 
parceiro, seu endereço de e-mail, número de telefone 
e planos de voo. O queixoso informou-nos que foi 
alertado sobre a divulgação pelo indivíduo a quem foi 
enviada por engano a transcrição do seu webchat.
emitir a função de preenchimento automático no sistema de webchat ao 
vivo foi desabilitada pelo processador de dados e o treinamento de 
atualização do GDPR foi fornecido à equipe.
Muitas das reclamações que a DPC recebe relacionadas 
com a divulgação não autorizada de dados pessoais num 
contexto eletrónico — por exemplo, e-mails contendo 
dados pessoais enviados para o destinatário errado — 
decorrem da utilização das funções de preenchimento 
automático no software. Embora os responsáveis pelo 
tratamento de dados possam considerar esta ferramenta 
útil para poupar tempo num contexto de introdução de 
dados, apresenta riscos inerentes quando é utilizada para 
preencher detalhes de destinatários para efeitos de 
transmissão de dados pessoais. As funções de 
preenchimento automático devem, portanto, ser 
utilizadas com cautela e, quando os responsáveis pelo 
tratamento decidiremintegrar tal função no seu software 
para fins de processamento de dados, deverão ser 
implementadas, no mínimo, outras salvaguardas, tais 
como endereços fictícios no início do livro de endereços, 
ou instruções na tela para verificar os detalhes do 
destinatário.
Na nossa análise da reclamação, estabelecemos que o serviço de 
webchat ao vivo da Ryanair é fornecido por um terceiro, que é um 
processador de dados da Ryanair. Estabelecemos também que o 
sistema que envia as transcrições do webchat por e-mail possui uma 
função de preenchimento automático que preenche o campo do 
destinatário com o endereço de e-mail do último cliente enviado. Na 
data em questão, o responsável pelo tratamento recebeu pedidos de 
quatro clientes da Ryanair para transcrições das suas webchats, todos 
tratados pelo mesmo agente. No entanto, o agente não alterou 
corretamente o endereço de e-mail do destinatário ao enviar cada 
transcrição, de modo que elas foram enviadas aos destinatários 
errados. A Ryanair informou-nos que, para evitar a recorrência desta 
situação
ESTUDO DE CASO 59
Transmissão de dados por um departamento governamental via 
WhatsApp (Lei aplicável — Leis de Proteção de Dados de 1988 e 
2003 (as Leis))
Recebemos uma queixa contra o Departamento de 
Relações Exteriores e Comércio (DFAT), alegando que a 
missão no Cairo, Egito, havia compartilhado os dados 
pessoais do reclamante com terceiros (seu empregador) 
sem o seu conhecimento ou consentimento, e que havia 
não conseguiu manter os dados pessoais do reclamante 
seguros e protegidos, tendo-os transmitido via WhatsApp 
ao seu empregador. Isto dizia respeito ao tratamento dos 
dados pessoais do queixoso contidos num pedido de visto 
de curta duração que o queixoso apresentou para realizar 
um exame na Irlanda.
Durante a nossa investigação, o DFAT informou-nos que era 
prática comum no processamento de pedidos de visto 
verificar a exatidão, integridade e validade dos documentos 
comprovativos. Segundo o DFAT, surgiu uma suspeita quanto 
à veracidade de um documento comprovativo apresentado 
pelo queixoso, supostamente assinado pelo seu empregador. 
Para verificar a sua validade, um funcionário da missão do 
Cairo contactou o empregador (um funcionário de uma 
agência governamental egípcia, cujo nome e assinatura 
figuravam no documento) por telefone, pois estava em 
melhor posição para verificar a autenticidade do documento. . 
O empregador confirmou que precisaria ver o
52 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
documento para verificá-lo, mas como não tinha endereço 
de e-mail oficial, a única forma de recebê-lo era via 
WhatsApp. O DFAT informou-nos que antes de enviar os 
dados via WhatsApp realizou uma avaliação de risco local, 
incluindo a verificação da segurança/criptografia associada 
ao WhatsApp. Concluiu que, tendo em conta a encriptação 
de ponta a ponta do WhatsApp, este era o meio de 
transmissão mais seguro disponível, dada a urgência do 
pedido de visto, conforme descrito pelo queixoso no seu 
pedido. Neste contexto, o DFAT informou-nos que muitos 
funcionários governamentais e funcionários públicos no 
Egipto não têm acesso a contas/sistemas de e-mail oficiais 
e utilizam frequentemente serviços como Gmail, Hotmail, 
WhatsApp e Viber para realizar negócios oficiais. Nesse 
caso,
documentos de candidatura, supostamente assinou certos 
documentos comprovativos. Observamos a este respeito que a política 
de privacidade relevante (para os Serviços Irlandeses de Naturalização 
e Imigração) afirma explicitamente que o ônus da prova em um pedido 
de visto recai sobre o requerente e que o oficial de vistos pode verificar 
qualquer evidência apresentada em apoio a um pedido. A política 
também estabelece que qualquer informação fornecida num 
formulário de candidatura pode ser divulgada, entre outros, a 
governos estrangeiros e outros organismos para fins de imigração.
A DPC considerou que, dada a falta de quaisquer outros meios 
seguros para contactar o funcionário em questão, a transmissão 
via WhatsApp era necessária para processar os dados pessoais 
para a finalidade prevista (elegibilidade do visto) e que o queixoso 
foi avisado de que a documentação comprovativa poderia ser 
compartilhado com terceiros para verificar a autenticidade. A DPC 
também levou em conta o fato de que a avaliação de risco local 
realizada pelo DFAT havia estabelecido que, nas circunstâncias, o 
envio dos dados pessoais via WhatsApp era o meio de 
transmissão mais seguro. Assim, a DPC concluiu que o DFAT 
cumpriu as Leis.
Os documentos foram enviados pelo celular do único 
funcionário da missão do Cairo com WhatsApp e foram 
excluídos do aparelho imediatamente após o envio. Por fim, 
o funcionário informou a missão do Cairo que os 
documentos eram fraudulentos e o pedido de visto foi 
negado. Durante a nossa investigação, o queixoso informou-
nos que estava a pedir uma indemnização de 3.000 euros ao 
DFAT, como perda do custo da realização do exame na 
Irlanda. Após a DPC informar o queixoso de que não tinha 
poderes para conceder indemnizações, o queixoso solicitou 
uma decisão formal da DPC. Ao considerar se ocorreu uma 
infração às Leis quando os dados pessoais do denunciante 
foram enviados pelo DFAT, via WhatsApp, ao funcionário em 
questão, a DPC procurou apurar os fatos em relação, em 
primeiro lugar, se a transmissão em questão era necessária 
e, em segundo lugar, se era segura, incluindo se existiam 
métodos mais seguros à disposição do DFAT para transmitir 
os dados. Quanto à primeira questão, a DPC considerou que 
era necessário que o DFAT partilhasse os dados pessoais do 
reclamante com o funcionário que, no pedido de visto de 
curta duração, foi indicado como seu empregador e que, 
segundo o
Este foi um caso excepcional decorrente das circunstâncias 
específicas do país em questão. Aqui, a transmissão de 
informações para fins oficiais através do WhatsApp era, de facto, o 
método mais seguro disponível e o empregador do queixoso, 
embora fosse um funcionário do governo, não tinha acesso a um 
sistema de comunicações oficial através do qual os dados pessoais 
pudessem ter sido transmitidos. Neste caso, os princípios 
fundamentais da proteção de dados de necessidade e 
proporcionalidade, aplicados ao contexto único do tratamento em 
questão, resultaram na conclusão da DPC de conformidade com 
as Leis. Tal conclusão provavelmente não teria prevalecido se a 
queixa tivesse surgido num caso equivalente, onde outros canais 
de comunicação oficiais estivessem disponíveis para transmitir os 
dados pessoais contidos nos documentos comprovativos.
ESTUDO DE CASO 60
HSE Hospital/Agência de Saúde
Em 2019, a DPC recebeu denúncia sobre divulgação 
de dados de uma paciente via mensageiro do 
Facebook por um porteiro de hospital referente ao 
seu atendimento na Unidade de Gravidez Precoce de 
um hospital. Ao analisar a denúncia, o HSE esclareceu 
à DPC que o porteiro do hospital que divulgou os 
dados pessoais do paciente era, na verdade, 
funcionário de uma agência de saúde contratada pelo 
HSE. A DPC entrou em contato
a agência e buscou uma atualização em relação à sua 
investigação interna, detalhes de qualquer ação corretiva, 
bem como detalhes de qualquer ação disciplinar tomada 
contra o funcionário em questão. Ao mesmo tempo, a DPC 
informou o HSE que, uma vez que contrata a empresa em 
causa para fornecer pessoal temporário para trabalhar no 
hospital, em última análise, o HSE é o responsável pelo 
tratamento dos dados pessoais neste caso.
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 53
A queixa foi posteriormente retirada pelo advogado que agia em 
nome da mulher, na sequência de um acordo acordado entre a 
parte afectada e o hospital/agência de cuidados de saúde. Os 
controladores/processadores de dados podem ser 
responsabilizados, de acordo com a Seção 117 da Lei de Proteção de 
Dados de 2018, perante um indivíduo por danos se não cumprirem o 
dever de cuidado que devem em relação aos dados pessoaisem sua 
posse.
qualquer processo sob a Seção 117 da Lei de 2018 ou na 
prestação de qualquer aconselhamento jurídico.
O que este caso ilustra é que é necessária formação contínua para todo o 
pessoal em relação às suas obrigações ao abrigo da lei de protecção de 
dados e que os responsáveis pelo tratamento devem fazer a devida 
diligência e certificar-se de que quaisquer contratantes/processadores que 
contratam estão totalmente formados e preparados para cumprir as leis de 
protecção de dados. .
A DPC não tem qualquer papel no tratamento de pedidos de 
indemnização e nenhuma função em relação à tomada de
ESTUDO DE CASO 61
Divulgação não autorizada de registos de faturação eletrónica de 
telemóveis, contendo dados pessoais, por uma empresa de 
telecomunicações, ao antigo empregador do titular dos dados (Lei 
aplicável: Leis de Proteção de Dados de 1988 e 2003 (“as Leis”))
A queixosa, durante um emprego anterior, solicitou à 
empresa de telecomunicações que associasse o seu 
número de telemóvel pessoal à conta do seu (então) 
empregador. Isto permitiu à queixosa beneficiar de um 
desconto associado ao seu (então) empregador. 
Embora esta medida tenha resultado na mudança do 
nome da conta da reclamante para o do seu (então) 
empregador, o endereço residencial da reclamante 
permaneceu associado à conta e a reclamante 
permaneceu responsável pelo pagamento de 
quaisquer contas. Após a cessação da relação laboral, a 
queixosa contactou a empresa de telecomunicações 
para solicitar que (i) restringisse o acesso do seu antigo 
empregador aos registos do seu telemóvel; e (ii) 
separar a conta da do seu antigo empregador. Na 
sequência deste pedido, um gestor de conta tomou 
uma série de medidas na crença errada de que isso 
resultaria na separação da conta da queixosa da do seu 
antigo empregador. A queixosa, no entanto, tomou 
conhecimento de que, na sequência do seu pedido, o 
seu antigo empregador continuou a aceder aos 
registos da sua conta. Após novas investigações por 
parte da queixosa, a empresa de telecomunicações 
descobriu o seu erro e a conta da queixosa acabou por 
ser separada da do seu antigo empregador.
não havia registro da solicitação original de restrição de 
conta. Nestas circunstâncias, o queixoso remeteu uma 
queixa para este gabinete.
Durante a nossa investigação, a empresa de 
telecomunicações reconheceu que a ação inicial tomada pelo 
seu gestor de conta foi insuficiente, uma vez que não 
separou a conta da reclamante da do seu antigo empregador 
e nem impediu o seu antigo empregador de aceder aos seus 
registos de faturação eletrónica. A empresa reconheceu 
ainda que os seus registos estavam incompletos quando 
investigou a queixa do queixoso. Confirmou, a este respeito, 
que já tinha localizado o pedido inicial de restrição/separação 
do queixoso.
As questões a determinar, portanto, eram se a empresa de 
telecomunicações, como controladora de dados:
1. implementou medidas de segurança adequadas, tendo 
em conta as Secções 2(1)(d) e 2C(1) dos atos, a fim de 
proteger os dados pessoais do reclamante contra 
acesso não autorizado e divulgação a terceiros (ou seja, 
o ex-empregador do reclamante); e
2. manteve os dados do reclamante precisos, completos e 
atualizados, conforme exigido pela Seção 2(1)(b) das Leis.
Este gabinete concluiu que a empresa de telecomunicações não 
implementou medidas de segurança adequadas para proteger os 
dados pessoais da queixosa contra o acesso não autorizado e a 
divulgação ao seu antigo empregador. Isto ficou evidente pelo facto 
de o antigo empregador da queixosa ter continuado a aceder aos 
seus registos de facturação electrónica, apesar das medidas iniciais 
tomadas pela empresa de telecomunicações.O queixoso subseqüentemente apresentou uma reclamação à 
empresa de telecomunicações. Após investigar a reclamação, 
a empresa informou ao reclamante que
54 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
Este escritório observou ainda a obrigação, estabelecida na Seção 
2C(2) das Leis, de um controlador de dados “... tomar todas as 
medidas razoáveis para garantir que - (a) as pessoas por ele 
empregadas... estejam cientes e cumpram as medidas de 
segurança relevantes acima mencionadas…”. Este gabinete 
constatou que a empresa de telecomunicações não cumpriu as 
suas obrigações nesta matéria. Mais uma vez, isto ficou evidente 
pelo facto de o gestor de conta que inicialmente atendeu ao 
pedido da queixosa estar a agir com base na crença errada de que 
as medidas tomadas foram suficientes para conseguir a 
separação da conta da queixosa da do seu antigo empregador.
nos termos da Seção 2(1)(b) das Leis em circunstâncias em que 
os registros do reclamante, no momento relevante, eram 
imprecisos, incompletos e desatualizados.
Principais conclusões
O estudo de caso acima destaca o facto de que a obrigação de manter 
os dados pessoais seguros e protegidos é contínua. Os responsáveis 
pelo tratamento de dados devem garantir que monitorizam e avaliam 
continuamente a eficácia das suas medidas de segurança, tendo em 
conta a possibilidade de que as circunstâncias ou disposições que 
envolvem as suas atividades de tratamento de dados possam mudar 
de tempos em tempos. Neste caso, o responsável pelo tratamento não 
tomou as medidas necessárias para refletir a alteração das 
circunstâncias que lhe foi notificada pela queixosa quando esta 
solicitou a restrição e separação da sua conta da do seu antigo 
empregador. O estudo de caso destaca ainda a importância de um 
treinamento eficaz para os funcionários em relação a quaisquer 
protocolos internos.
Este gabinete considerou também o facto de, no momento 
em que a reclamante remeteu a sua reclamação para a 
empresa de telecomunicações, a empresa não ter 
conseguido localizar o seu pedido inicial de restrição de 
conta. O resultado disso foi que o resultado da investigação 
da própria empresa sobre a reclamação do indivíduo estava 
incorreto. Assim, e não obstante a posterior retificação da 
posição, este gabinete concluiu que a empresa de 
telecomunicações não cumpriu as suas obrigações
ESTUDO DE CASO 62
Suposta divulgação dos dados pessoais do reclamante por uma 
autoridade local (Queixa de Violação de Dados)
A DPC recebeu uma queixa de um indivíduo relativa 
a uma alegada divulgação dos dados pessoais do 
queixoso por uma autoridade local. O queixoso 
alegou que a autoridade local tinha divulgado 
erroneamente o nome, o endereço postal e as 
informações relativas ao pagamento do apoio à 
habitação do queixoso a terceiros.
O indivíduo foi informado pela autoridade local que 
esta divulgação ocorreu. No entanto, o indivíduo 
estava insatisfeito com as ações tomadas pela 
autoridade local em resposta à divulgação e não 
desejava envolver-se mais com a autoridade local 
com vista a procurar uma resolução amigável da 
reclamação.
da reclamação, o incidente em questão foi notificado à DPC pela 
autoridade local como uma violação de dados pessoais, conforme 
exigido pelo artigo 33.º do RGPD. Nesse contexto, a DPC colaborou 
extensivamente com a autoridade local relativamente às circunstâncias 
da violação de dados pessoais, às medidas de segurança de dados em 
vigor no momento em que ocorreu a violação de dados pessoais e às 
medidas de mitigação tomadas pela autoridade local, incluindo as 
medidas contínuas da autoridade local. esforços para recuperar os 
dados do destinatário.
Com base nesta informação, a DPC concluiu a sua análise 
da queixa informando ao indivíduo que a DPC estava 
convencida de que os dados pessoais do queixoso não 
foram processados pela autoridade local de uma forma 
que garantisse a segurança adequada dos dados pessoais 
e que um ocorreu divulgação não autorizada dos dados 
pessoais do reclamante, constituindo uma violação de 
dados pessoais. Com base nas ações tomadas pela 
autoridade local em resposta à violação de dados 
pessoais e, em particular, no facto de o destinatário dos 
dados pessoais do queixoso ter devolvido osdados à 
autoridade local, a DPC não considerou que qualquer 
acção adicional contra a autoridade local era justificada 
em relação ao objecto da queixa.
A DPC examinou a denúncia e contactou a autoridade 
local para obter mais informações sobre as alegações do 
indivíduo. A autoridade local confirmou à DPC que ocorreu 
uma violação de dados pessoais quando os dados 
pessoais do reclamante foram incluídos, por engano, 
numa resposta a um pedido de liberdade de informação a 
um terceiro. Para além da informação prestada pela 
autarquia à DPC no âmbito da sua análise
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 55
ESTUDO DE CASO 63
Divulgação não autorizada em um ambiente de trabalho
O queixoso alegou que o tratamento inseguro por 
parte do seu antigo empregador tornou os seus dados 
pessoais acessíveis a pessoas não autorizadas, 
incluindo antigos colegas e terceiros externos.
Os antigos colegas do queixoso afirmaram que os 
documentos relativos à “investigação interna” lhes tinham 
sido acessíveis. No entanto, estas declarações não 
descreviam detalhadamente a natureza ou o conteúdo 
dos documentos, não indicavam quando ou por quem 
tinham sido vistos e não indicavam que os documentos 
eram acessíveis a não trabalhadores. Contra isso, a 
empresa sustentou consistentemente que a apresentação 
da WRC, mas não o relatório de investigação interna, tinha 
estado indevidamente acessível aos funcionários durante 
vários dias. Significativamente, a empresa notificou a DPC 
aproximadamente um mês antes de o queixoso ter 
apresentado a sua reclamação pela primeira vez. A DPC 
considerou que não existiam provas suficientes para 
apoiar a alegação de que o relatório da investigação 
interna tinha sido divulgado,
O queixoso estava em litígio com a empresa devido ao seu 
despedimento. Em conexão com essa disputa, a empresa 
preparou documentos, incluindo um relatório de 
investigação interna e uma submissão legal à Comissão de 
Relações no Local de Trabalho (WRC). Embora a apresentação 
da WRC não contivesse muitos dados pessoais do queixoso, o 
relatório de investigação interna continha.
Aproximadamente um mês antes de o reclamante contactar pela 
primeira vez a DPC, a empresa notificou a DPC sobre uma 
violação de dados. A notificação afirmava que a apresentação da 
WRC tinha sido inadvertidamente armazenada numa pasta 
acessível a todos os funcionários, em vez de numa pasta acessível 
apenas ao pessoal de RH autorizado. O erro foi percebido e 
corrigido dois dias depois, e a empresa notificou a DPC logo em 
seguida. Os sistemas da empresa não registaram se, quando ou 
por quem a documentação do WRC poderia ter sido acedida, ou 
se tinha sido copiada ou impressa.
No que diz respeito às medidas de segurança da empresa, a DPC observou 
que a norma aplicável deveria refletir e mitigar os danos que poderiam ser 
causados por riscos relevantes, incluindo, como neste caso, a divulgação 
a pessoas não autorizadas. A empresa estava claramente consciente do 
risco de divulgação, uma vez que tinha providenciado o armazenamento 
de documentos confidenciais de uma forma que dava acesso apenas ao 
pessoal de RH autorizado.
Na denúncia, o queixoso alegou que a violação afetou não apenas 
a apresentação da WRC, mas também o relatório de investigação 
interna, e que estes tinham sido acessíveis a partir de todas as 
partes da intranet da empresa, incluindo num dispositivo que 
poderia ser utilizado tanto por funcionários como por visitantes. 
às instalações da empresa. O queixoso apresentou declarações de 
antigos colegas que descreveram ter acesso a documentos 
relativos à “investigação interna”. A empresa negou que o 
relatório da investigação interna tenha sido acessível a pessoas 
não autorizadas.
No entanto, a empresa não conseguiu antecipar e mitigar 
adequadamente o risco de erro humano no armazenamento de tais 
documentos, como aconteceu com a submissão ao WRC. A DPC 
também lembrou à empresa a necessidade de garantir que o pessoal 
relevante esteja ciente da necessidade de tratar os dados pessoais de 
acordo com as medidas de segurança aplicáveis e de responder às 
violações em conformidade. Este caso ilustra como os responsáveis 
pelo tratamento de dados devem considerar todos os riscos que 
podem surgir quando processam dados pessoais, incluindo o risco de 
erro humano. As medidas que adoptam para fazer face a esses riscos 
devem reflectir não apenas as possíveis causas de perdas ou danos, 
mas também as consequências de uma violação e as formas como 
essas consequências podem ser minimizadas ou remediadas.
Sustentou também que, embora a comunicação da WRC tenha estado 
indevidamente disponível durante um curto período de tempo na intranet 
da empresa, não estava numa parte dela acessível a não trabalhadores.
A DPC abordou duas questões principais: qual foi o 
conteúdo e a extensão da violação e se as medidas de 
segurança da empresa atenderam ao padrão exigido pela 
legislação de proteção de dados aplicável.
56 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 64
Falta de medidas de segurança adequadas, divulgação 
não autorizada no ambiente de trabalho
A DPC recebeu uma queixa contra um empregador, uma 
empresa industrial, afirmando que as suas informações 
privadas, incluindo atendimentos com o médico da 
empresa, detalhes de uma reclamação de danos pessoais 
movida contra a empresa e detalhes de um processo 
disciplinar instaurado contra o queixoso, tinham sido 
colocadas em o «C-Drive» partilhado pela empresa, 
disponível para visualização por qualquer pessoa dentro 
da empresa, e que uma cópia dos dados num CD-ROM 
também foi deixada na secretária do queixoso.
médico que revelou informações muito pessoais e sensíveis 
sobre a saúde física e mental do queixoso e as suas 
circunstâncias pessoais. Notou-se que esta informação estava 
a ser mantida pela empresa no contexto de processos/
reivindicações legais apresentadas pelo indivíduo. Dada a 
natureza das informações, havia um ónus particularmente 
forte sobre a empresa para garantir que apenas aqueles que 
precisavam de acesso a essas informações tivessem acesso e, 
portanto, pudessem acessá-las e processá-las.
A questão desta reclamação foi a colocação de ficheiros para 
incluir as informações pessoais do reclamante num disco 
partilhado acessível a todos os colaboradores. A DPC considerou 
que não foi dada a devida atenção à sensibilidade da informação 
contida nos ficheiros e aos riscos que implica a sua 
disponibilização a qualquer funcionário da empresa, ainda que 
por um período de tempo muito curto. Parece que a decisão de 
transferir os ficheiros para a unidade partilhada foi tomada por 
razões pragmáticas, ou seja, a empresa confirmou que foi 
executada desta forma porque os ficheiros eram demasiado 
grandes para serem enviados por email.
Durante a análise da denúncia, tornou-se evidente que vários 
computadores do local de trabalho foram utilizados para aceder 
aos dados da unidade partilhada, que a empresa afirmou ter sido 
descarregada, copiada ou enviada para um endereço de correio 
eletrónico externo. A organização informou que realizou uma 
investigação do incidente que resultou na rescisão de dois 
funcionários, identificados como tendo um papel significativo no 
incidente, e que a An Garda Síochána foi notificada sobre o 
incidente. A empresa notificou a DPC sobre o incidente de 
violação, destacando que determinados dados foram acessados 
e visualizados por pelo menos dois de seus funcionários.
No entanto, isso não justificava a colocação dos ficheiros 
num local onde qualquer funcionário da empresa pudesse 
aceder aos mesmos, especialmente tendo em conta o 
risco de danos para o titular dos dados se os seus colegas 
conseguissem descobrir informações muito pessoais e 
sensíveis que o reclamante pode, legitimamente, não ter 
esperado ou desejado que outros funcionários 
soubessem, exceto na medida em que fosse estritamente 
necessário que funcionários limitados soubessem em 
relaçãoa processos/reclamações legais entre o titular dos 
dados e seu empregador. Além disso, havia uma série de 
opções alternativas na transferência dos arquivos para o 
Departamento Jurídico, que não representariam o mesmo 
risco para a segurança dos dados pessoais, incluindo 
colocar os arquivos em uma pasta, seja na unidade 
compartilhada ou de outra forma, onde o acesso era 
restrito a indivíduos limitados.
Afirmou-se que os dados estavam sendo transferidos internamente do 
departamento de Recursos Humanos (RH) para o departamento 
Jurídico devido à saída iminente de um de seus funcionários de RH. 
Durante a transferência, um grande volume de ficheiros electrónicos 
relativos a processos judiciais envolvendo um grande número de 
indivíduos teve o potencial de ser acedido e visualizado por 
funcionários que normalmente não teriam acesso a eles.
A implementação de medidas para proteger e proteger os dados 
pessoais são princípios fundamentais da lei de protecção de 
dados, especialmente em termos de garantir que não haja acesso 
não autorizado ou destruição de dados pessoais.
No que diz respeito a esta reclamação específica, a DPC observou, 
em primeiro lugar, que as informações relativas ao reclamante que 
foram divulgadas no âmbito da violação de dados incluíam 
informações muito sensíveis e que constituíam “dados de categoria 
especial”, em circunstâncias em que os dados de categoria especial 
incluem informações sobre “dados relativos à saúde ou dados 
relativos à vida sexual de uma pessoa física”.
As consequências da falta de protecção dos dados pessoais neste 
caso foram consideráveis, dando origem a processos judiciais 
contra a empresa por parte do indivíduo afectado, a perda de dois 
funcionários de longa data que foram despedidos, sem falar no 
impacto sobre o indivíduo cujos dados foram divulgados .
As informações (exemplos dos quais foram fornecidos a este 
escritório) incluíam detalhes de atendimentos na empresa
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 57
ESTUDO DE CASO 65 ESTUDO DE CASO 66
Divulgação sem consentimento Divulgação de Dados Sensíveis
Um indivíduo queixou-se à DPC de que o Gabinete 
de Activos Criminais (CAB) divulgou os seus dados 
financeiros pessoais, sem o seu consentimento, a 
vários indivíduos contra os quais o CAB tinha 
instaurado processos judiciais. A CAB informou a 
DPC que o processo em questão estava ao abrigo da 
Lei dos Produtos do Crime, 1996-2016 (PoCA), cujo 
objectivo é identificar e confiscar bens, estabelecidos 
a contento do Tribunal Superior, como sendo 
produtos do crime . A CAB afirmou que as 
informações contidas na documentação em questão 
eram necessárias para estabelecer a procedência da 
propriedade objeto de
o processo. O CAB sublinhou que os dados 
pessoais do queixoso estavam interligados com os 
dados pessoais dos indivíduos processados e não 
podiam ser ocultados dos documentos judiciais. A 
DPC observou que tais processos são regidos pela 
seção 158 (1) da Lei de Proteção de Dados de 2018 
(a Lei), que prevê que o GDPR e a Diretiva de 
Aplicação da Lei, conforme transpostos na Lei, 
podem ser restringidos, a fim de garantir a 
proteção da independência judicial. e processos 
judiciais.
Um indivíduo queixou-se à DPC de que uma empresa 
de vestuário e alimentação divulgou os seus dados 
médicos pessoais através da emissão de 
correspondência postal com as palavras “Coeliac 
Mailing” impressas no exterior do envelope. Como 
parte do recurso Stores Value Card, o indivíduo em 
questão se inscreveu para receber um 'Certificado 
Anual de Despesas' de produtos sem glúten 
adquiridos durante o ano, que poderia ser usado para 
fins fiscais. A DPC informou à loja que, nos termos do 
Artigo 9 do GDPR, os dados de saúde são 
considerados dados confidenciais e recebem proteção 
adicional e que a exibição das palavras
“Coeliac Mailing” deve ser examinado à luz do 
Artigo 9 do GDPR. Em resposta, a loja informou à 
DPC que instruiu seu departamento de marketing a 
parar de usar esse texto na parte externa dos 
envelopes em todas as correspondências futuras. A 
DPC saúda o resultado positivo deste compromisso.
Conforme estabelecido na Secção 101(2) da Lei, a DPC não é 
competente para a supervisão das operações de tratamento de 
dados dos tribunais quando actuam na sua capacidade judicial. 
A DPC informou o queixoso que o CAB preparou os documentos 
judiciais para efeitos de processos judiciais e que a supervisão 
das operações de processamento de dados dos tribunais 
quando actuam na sua capacidade judicial é atribuída a um Juiz 
nomeado pelo Chefe de Justiça nos termos da secção 157 da 
Lei . A DPC forneceu ao queixoso os dados de contacto do juiz 
designado.
58 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 67
Divulgação de extratos de conta por um banco ao 
representante de um titular de conta conjunta
Neste caso, o queixoso tinha uma conta bancária conjunta 
com um familiar. Na sequência de um pedido dos advogados 
do outro titular da conta conjunta, o banco (o responsável 
pelo tratamento dos dados) divulgou cópias dos extratos 
bancários relativos à conta, que incluíam os dados pessoais 
do queixoso, a esses advogados. O queixoso estava 
preocupado com o facto de esta divulgação não estar em 
conformidade com a lei de protecção de dados.
Em segundo lugar, a DPC considerou se o banco tinha uma 
base legal para a divulgação dos dados pessoais do queixoso, 
conforme exigido pela lei de protecção de dados. A este 
respeito, a DPC considerou que o banco tinha o direito de 
invocar a base legal dos “interesses legítimos”, que permite o 
tratamento de dados pessoais quando esse tratamento for 
necessário para efeitos dos interesses legítimos prosseguidos 
pelo responsável pelo tratamento dos dados ou por uma 
terceira festa . Neste caso, o banco divulgou os dados 
pessoais do reclamante com base no facto de o advogado agir 
em nome do outro titular da conta conjunta e solicitar os 
extratos para fins legítimos, nomeadamente para realizar uma 
auditoria aos assuntos financeiros do outro titular da conta. 
Nas circunstâncias em que, de acordo com as instruções de 
assinatura da conta, o outro titular da conta teria o direito de 
administrar a conta, a DPC considerou que o banco não teria 
qualquer motivo para suspeitar que a divulgação seria 
injustificada devido a qualquer prejuízo aos direitos ou 
liberdades fundamentais do queixoso. Assim, a DPC 
considerou que o banco tinha uma base legal para a 
divulgação, independentemente de o reclamante ter dado 
consentimento.
Durante o tratamento desta reclamação pela DPC, o 
banco expôs a sua posição de que qualquer titular de 
conta conjunta tem direito a aceder aos detalhes e 
informações de transação da conta conjunta como um 
todo. O banco considerou ainda que, em relação aos 
advogados que actuam em nome dos seus clientes, é 
suficiente aceitar a confirmação escrita de um advogado, 
no seu papel timbrado, de que o advogado actua em 
nome do cliente como autoridade para o banco se 
envolver com o advogado na qualidade de representante 
do cliente do banco. A lei de proteção de dados exige que 
os dados pessoais sejam recolhidos ou obtidos para 
finalidades específicas, explícitas e legítimas e não sejam 
processados de forma incompatível com essas 
finalidades (o princípio da “limitação da finalidade”). 
Nesse caso, a DPC constatou que o banco obteve os 
dados pessoais do reclamante para administrar a conta 
conjunta que o reclamante mantinha com o outro titular 
da conta, incluindo a realização de pagamentos, a recolha 
de informações sobre transações e a preparação de 
extratos bancários. Pareceu à DPC que era consistente 
com os termos e condições do banco para a conta 
conjunta e com as instruções de assinatura do titular da 
conta na conta (que permitiam a qualquer uma das 
partes assinar transacções sem o consentimento do outro 
titular da conta), que o a administração da conta poderia 
ser concluída por um titular da conta sem o 
consentimentodo outro. Face ao exposto, a DPC 
considerou que a divulgação dos extratos bancários aos 
solicitadores do outro titular da conta conjunta não era 
incompatível com o especificado,
Por último, a DPC considerou se o banco cumpriu as suas 
obrigações ao abrigo da lei de protecção de dados de tomar 
medidas técnicas e organizacionais adequadas para garantir a 
segurança dos dados pessoais contra divulgação não autorizada 
ou ilegal. A este respeito, a DPC aceitou a posição do banco, 
expressa nas suas políticas, de que era apropriado aceitar a 
confirmação escrita de um advogado de que estava autorizado a 
agir em nome de um titular de conta, sem procurar outras provas. 
A política do banco a este respeito baseou-se no facto de o 
advogado ter funções profissionais como funcionário do tribunal 
e como membro de uma profissão regulamentada.
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 59
ESTUDO DE CASO 68
Divulgação e publicação não autorizada de uma fotografia
Um titular dos dados apresentou queixa à DPC 
relativamente à publicação da imagem, nome e 
morada parcial do seu filho num jornal religioso. A 
imagem utilizada na publicação foi obtida 
originalmente da página de um grupo religioso no 
Facebook. O titular dos dados informou à DPC que 
não foi dado consentimento para a utilização mais 
ampla da imagem através da publicação em jornal. A 
preocupação era com a privacidade da criança 
decorrente do uso da imagem, nome e endereço 
parcial pelo jornal. Na correspondência enviada 
diretamente entre o titular dos dados e o jornal, o 
titular dos dados citado no artigo 9.º do RGPD relativo 
aos dados pessoais de categoria especial aplica-se à 
sua reclamação porque a imagem revelava 
informações sobre as crenças religiosas da criança.
havia dado permissão. O jornal afirmou à DPC que esta pessoa 
“estava agindo in loco parentis no que dizia respeito [ao jornal] 
e, portanto, o consentimento havia sido dado”. O jornal 
informou ainda a DPC que se baseiam no artigo 9.º, n.º 2, alínea 
a) e no artigo 9.º, n.º 2, alínea e), do RGPD para o tratamento de 
dados pessoais de categoria especial.
O jornal concluiu que tinham o interesse legítimo exigido 
na publicação da fotografia, que a fotografia era de 
domínio público através da página aberta do Facebook, 
tomaram medidas para garantir que foi obtido o 
consentimento para publicar a fotografia e o 
consentimento fornecido foi adequado e foram direito de 
confiar no mesmo. O jornal disse estar satisfeito por ter 
cumprido as suas obrigações, mas reviu e alterou as suas 
políticas internas sobre esta questão.
A DPC forneceu ao titular dos dados a resposta à reclamação e 
perguntou ao titular dos dados se considerava que as suas 
preocupações em matéria de protecção de dados eram 
adequadamente abordadas e resolvidas amigavelmente. Além 
disso, o titular dos dados foi convidado a fazer as suas 
observações sobre a resposta do responsável pelo tratamento 
dos dados. O titular dos dados respondeu informando à DPC que 
o assunto não foi resolvido amigavelmente e que deveria ter sido 
obtido consentimento explícito. A DPC concluiu o exame e 
forneceu um resultado a ambas as partes, conforme exigido pela 
seção 109(5) da Lei de Proteção de Dados de 2018 (a Lei de 2018).
Como parte da sua análise, a DPC contactou o responsável pelo 
tratamento dos dados e solicitou uma resposta à reclamação. O 
responsável pelo tratamento informou à DPC que nunca 
pretendeu qualquer sofrimento ao titular dos dados ou à sua 
família. Um repórter viu a imagem na página do grupo no 
Facebook e pediu permissão para usá-la a um membro 
importante do grupo religioso, posteriormente este membro 
concedeu permissão para seu uso. O jornal afirma que a imagem 
já estava disponível online na página do grupo no Facebook e foi 
tirada num evento público e o endereço utilizado foi o do grupo 
religioso e não o endereço pessoal da criança.
A DPC informou o titular dos dados, nos termos da secção 109(5)
(c) da Lei de 2018, que a explicação apresentada pelo 
responsável pelo tratamento dos dados relativamente ao 
tratamento dos dados pessoais da criança nas circunstâncias 
desta reclamação era razoável. Ao dizer isto, a DPC escreveu ao 
jornal religioso e, nos termos da secção 109(5)(f) da Lei de 2018, 
recomendou que considerasse o Código de Prática do Conselho 
de Imprensa, em particular o princípio 9 do mesmo, garantindo 
que o princípio dos dados a minimização seja respeitada e 
conduzir e registrar o exercício de equilíbrio entre o interesse 
público na publicação e os direitos e interesses dos titulares dos 
dados.
Em resposta às perguntas da DPC, o jornal informou a 
DPC que era sua prática normal obter consentimento para 
tirar e usar imagens e embora nesta circunstância a 
imagem estivesse disponível numa página aberta do 
Facebook, o jornal ainda contactou o grupo religioso e 
questionou se a permissão foi obtida para usar a imagem. 
O membro líder do grupo religioso que contactaram 
avisou-os de que outra pessoa in loco parentis (agindo no 
lugar dos pais)
60 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 69
Divulgação por uma cooperativa de crédito dos dados pessoais de 
um membro a uma empresa de investigações privadas
O reclamante neste caso era um mutuário de uma 
cooperativa de crédito e supostamente estava com um 
empréstimo em atraso. A cooperativa de crédito alegou 
não conseguir entrar em contato com o reclamante. A 
cooperativa de crédito divulgou dados pessoais do 
reclamante a uma empresa privada de investigações com 
a intenção de localizar e comunicar com o reclamante. Os 
dados divulgados incluíam o nome, morada, morada 
anterior, situação familiar e situação profissional do 
queixoso. Aproximadamente quatro anos depois, o 
reclamante tomou conhecimento dessa divulgação e 
apresentou queixa à DPC.
A cooperativa de crédito disse à DPC que a sua política de controlo de 
crédito tratava de casos em que era proposto que o empréstimo 
inadimplente de um membro fosse anulado como uma dívida 
inadimplente. Antes de o fazer, as disposições relevantes 
determinavam que a cooperativa de crédito deveria fazer “todos os 
esforços… para comunicar com o membro, incluindo a assistência de 
terceiros” para tentar continuar com os acordos acordados e ajudar na 
cobrança da dívida.
A DPC avaliou que a base legal para a divulgação e a 
existência de contrato de tratamento de dados são as 
questões centrais da denúncia.
À luz de todos os factos apresentados, e com base na legislação 
aplicável, a DPC concluiu que a cooperativa de crédito tinha um 
interesse legítimo em procurar obter dados de contacto 
atualizados, a fim de restabelecer o contacto com o reclamante 
com um com vista a discutir o reembolso do empréstimo. O 
tratamento de dados pessoais foi necessário para prosseguir esse 
interesse legítimo. A DPC aceitou que a divulgação poderia afetar 
os direitos fundamentais e os interesses legítimos do queixoso. 
Contra isso, porém, o cumprimento da importante função social 
proporcionada pelas cooperativas de crédito exigia que estas 
fossem capazes de tomar medidas para interagir com os membros 
cujos empréstimos estivessem em atraso. Por essa razão, a 
divulgação foi justificada apesar do potencial prejuízo aos direitos 
e liberdades fundamentais ou aos interesses legítimos do 
queixoso. A cooperativa de crédito afirma, portanto, a prossecução 
do seu interesse legítimo em contactar o reclamante e solicitar o 
reembolso do empréstimo como base legal para a divulgação de 
dados pessoais à empresa privada de investigações.
A empresa de investigações privadas tinha cessado a sua 
atividade vários anos antes da denúncia e, portanto, não estava 
em condições de ajudar a investigação da DPC. A DPC solicitou à 
cooperativa de crédito que explicasse a base legal em que 
divulgou os dados e por que considerou necessário fazê-lo.
A cooperativa de crédito informou à DPC que não tinha um contrato escrito 
com a empresa de investigações privadas, pelo quea DPC solicitou-lhe que 
fornecesse detalhes de qualquer política ou procedimento interno relativo a 
quando seria apropriado estabelecer contacto com essa empresa.
No que diz respeito à base jurídica para a divulgação, a cooperativa de 
crédito alegou que a divulgação era necessária para efeitos de 
prossecução de um interesse legítimo e para a execução do seu 
contrato com o reclamante. Referiu-se também a uma disposição da 
secção 71(2) da Lei das Cooperativas de Crédito de 1997, que permite a 
uma cooperativa de crédito divulgar as informações da conta de um 
membro quando o Banco Central da Irlanda (anteriormente, o Registo 
das Cooperativas de Crédito) for de opinião que, ao fazê-lo, isso é 
necessário para proteger os fundos dos acionistas ou depositantes ou 
para salvaguardar os interesses da cooperativa de crédito. (A 
cooperativa de crédito não soube dizer se o Banco Central expressou 
tal opinião em relação a este caso.)
A DPC também considerou se a seção 71(2) da Lei das Cooperativas de 
Crédito de 1997 fornecia uma base legal para a divulgação neste caso. 
A DPC observou que o cumprimento de uma obrigação legal, tal como 
uma ordem judicial ou uma disposição de uma lei, pode fornecer uma 
base legal para o processamento. No entanto, a secção 71(2) (incluindo 
a disposição mencionada pela cooperativa de crédito nas suas 
observações à DPC) tinha efeitos permissivos e não obrigatórios: 
embora permitisse que as cooperativas de crédito divulgassem 
informações em determinadas circunstâncias, não exigia que elas o 
fizessem. faça isso . Assim, a secção não justificou a divulgação para 
efeitos da legislação de proteção de dados aplicável.
A cooperativa de crédito sustentou que a divulgação era 
necessária porque não conseguiu comunicar com o reclamante 
por carta, telefone ou através do advogado do reclamante. Na 
sua opinião, o queixoso procurava fugir aos seus esforços para 
actualizar os seus registos e discutir o empréstimo pendente. (O 
queixoso contestou veementemente esta afirmação, salientando 
que tinha efectuado os reembolsos pouco antes de a cooperativa 
de crédito contactar a empresa de investigações privadas.) A DPC observou que o processamento por um processador em nome de um 
controlador deve ser conduzido sob os termos de um contrato por escrito 
ou em forma equivalente que esteja em conformidade com
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 61
legislação aplicável em matéria de proteção de dados e, em particular, 
garante que o tratamento cumpre as obrigações impostas ao responsável 
pelo tratamento. Na opinião da DPC, a política de controlo de crédito da 
cooperativa de crédito não foi suficiente para cumprir este requisito, pelo 
que a cooperativa de crédito não cumpriu a sua obrigação legal a este 
respeito.
fornecer clareza sobre como e por quem seus dados estão sendo 
processados e para quais finalidades.
O caso também mostra a importância de ser claro quanto à base 
jurídica para o tratamento. Quando a base reivindicada é uma 
obrigação legal, não é suficiente simplesmente demonstrar que o 
responsável pelo tratamento pode legalmente optar por agir de uma 
determinada forma: o tratamento deve ser exigido por lei para que 
esta base jurídica seja aplicável. Quando um subcontratante alegar 
que o tratamento se destina à prossecução de um interesse legítimo, 
deve ser capaz de demonstrar que o tratamento é necessário para 
esse fim e que equilibrou cuidadosamente esse interesse com os 
direitos e liberdades das pessoas que possam ser afetadas por isso. 
Se o interesse não superar esses direitos e liberdades, não fornece 
uma base jurídica para o tratamento.
Este caso destaca diversas questões importantes para os controladores de 
dados. Sempre que um responsável pelo tratamento contrata um 
subcontratante para tratar dados em seu nome, existe um requisito claro de 
ter um contrato de tratamento ou medida equivalente que cumpra o artigo 
28.º, n.º 3, do RGPD ou outra legislação aplicável. Estes contratos beneficiam 
tanto os responsáveis pelo tratamento como os subcontratantes, pois 
deixam claro qual o tratamento necessário e como deve ser realizado. Eles 
também protegem o titular dos dados
ESTUDO DE CASO 70
Divulgação do nome e número de telemóvel de 
um jornalista por uma figura pública
O queixoso neste caso era um jornalista que enviou um e-
mail a uma figura pública para fazer perguntas sobre as 
decisões que a figura pública tinha tomado em relação ao 
seu trabalho. A figura pública usou sua conta no Twitter 
para publicar uma cópia do e-mail. O nome do jornalista, 
endereço de e-mail comercial e número de celular 
estavam legíveis na cópia publicada do e-mail. O jornalista 
relatou ter recebido uma série de mensagens de texto 
ameaçadoras posteriormente.
A DPC considerou que o nome, endereço de e-mail e número de 
telemóvel do jornalista eram dados pessoais porque o jornalista era 
claramente identificável por eles. Relativamente à base jurídica para a 
sua divulgação, a DPC observou que, embora a lei de protecção de 
dados previsse várias bases jurídicas possíveis para o tratamento, a 
única base levantada pela figura pública foi o consentimento. A opinião 
da DPC era que um inquérito mediático a uma figura pública realizado 
por um jornalista que actuasse nessa qualidade não equivalia a um 
consentimento válido para a partilha de quaisquer dados pessoais no 
inquérito. Por essas razões, a divulgação dos dados pela figura pública 
violou a lei de proteção de dados.
O jornalista pediu à figura pública que apagasse a cópia 
publicada do e-mail. A figura pública fez isso, mas também 
publicou um Tweet dizendo que o número do celular do 
jornalista estava disponível online. Isso incluía um link para 
uma mensagem no fórum de discussão postada pelo 
jornalista seis anos antes, quando era estudante, que incluía o 
mesmo número de celular. O jornalista reclamou à DPC.
Este caso destaca diversas questões importantes. O artigo 6.º do RGPD 
prevê seis bases jurídicas sobre as quais um processador pode justificar o 
tratamento de dados pessoais. O consentimento é um deles, mas o RGPD 
estabelece requisitos importantes, incluindo a forma como o 
consentimento é dado, o direito de retirar o consentimento e a 
necessidade de os responsáveis pelo tratamento serem capazes de 
demonstrar que os titulares dos dados deram o consentimento. Embora 
existam outras bases jurídicas, os responsáveis pelo tratamento devem 
ter em mente que todas elas estão sujeitas a um teste de «necessidade» e 
aos seus próprios requisitos específicos.
No âmbito da sua investigação, a DPC pediu à figura pública que 
identificasse a base legal para a divulgação dos dados do 
jornalista. A resposta da figura pública questionou se o nome e os 
dados de contacto do jornalista constituíam dados pessoais. 
Afirmou também que, pelo facto de o jornalista ter disponibilizado 
anteriormente essa informação na Internet, o jornalista consentiu 
implicitamente na sua publicação pela figura pública. O jornalista 
rejeitou essa afirmação.
62 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 71
Divulgação de dados pessoais e financeiros a 
terceiros e pedido de apagamento
Um titular de dados forneceu os seus dados pessoais e 
financeiros a uma organização (o responsável pelo tratamento 
dos dados) como parte do pedido do seu familiar para um 
esquema. O pedido não foi aceite e foi emitida ao requerente 
uma carta de indeferimento, que incluía a discriminação dos 
dados pessoais e financeiros do titular dos dados. O titular dos 
dados apresentou uma reclamação à Comissão de Proteção 
de Dados (DPC) relativamente à falta de transparência no 
processo de candidatura e na divulgação dos seus dados 
pessoais e financeiros ao seu familiar. O titular dos dados 
solicitou a devolução dos seus dados pessoais ao responsável 
pelo tratamento. O titular dos dados também solicitou que os 
seus dados pessoais fossem apagadospelo responsável pelo 
tratamento nos termos do artigo 17.º do Regulamento Geral 
de Proteção de Dados (RGPD) e, se o apagamento não fosse 
uma opção, a base jurídica para a conservação dos seus 
dados.
“Objetivos importantes de interesse público geral da União ou 
de um Estado-Membro, em particular um importante 
interesse económico ou financeiro da União ou de um Estado-
Membro, incluindo questões monetárias, orçamentais e 
fiscais, de saúde pública e de segurança social.”
Foi emitido um pedido de desculpas ao titular dos dados pelo 
responsável pelo tratamento, em resultado da divulgação dos 
seus dados pessoais na carta de recusa emitida ao seu familiar, o 
requerente. O titular dos dados questionou se esta divulgação foi 
comunicada à DPC como uma violação. Nos termos do artigo 33.º 
do RGPD, o responsável pelo tratamento de dados é obrigado a 
comunicar uma violação de dados pessoais à autoridade 
competente relevante sem demora injustificada, a menos que seja 
improvável que a violação de dados resulte num risco para os 
direitos e liberdades das pessoas singulares. Uma violação de 
dados é descrita no Artigo 4(12) do RGPD como: “Uma violação de 
segurança que conduz à destruição, perda, alteração, divulgação 
não autorizada ou acesso acidental ou ilegal a dados pessoais 
transmitidos, armazenados ou de outra forma processados”. .
Antes do início da análise da DPC, o titular dos dados apresentou 
sugestões para a resolução amigável da sua reclamação, que 
incluíam, entre outras coisas, um 'gesto de boa vontade' do 
responsável pelo tratamento dos dados. No entanto, devido ao 
papel da organização, o responsável pelo tratamento dos dados 
não estava em condições de facilitar este pedido.
Através do seu exame, a DPC concluiu que a carta de recusa que 
resultou na divulgação dos dados pessoais do titular dos dados pode 
ser distinguida de outros registos retidos pelo responsável pelo 
tratamento, uma vez que não seguiu diretamente as suas orientações. 
Assim, a DPC convidou o responsável pelo tratamento a apagar ou 
ocultar os dados pessoais do titular dos dados da carta de decisão 
mantida em arquivo. Além disso, uma carta alterada poderá ser 
enviada ao requerente, ocultando os dados pessoais do titular dos 
dados. O responsável pelo tratamento informou que reemitiria a carta 
de recusa e solicitaria ao requerente a devolução da carta inicial 
enviada. O responsável pelo tratamento dos dados também avisou 
que eliminariam a carta inicial dos seus registos.
No âmbito da sua análise, a DPC contactou o responsável pelo tratamento 
dos dados e solicitou uma resposta à reclamação do titular dos dados. O 
responsável pelo tratamento dos dados afirmou que, embora faça parte do 
seu procedimento informar os requerentes dos motivos da recusa, apenas 
uma divulgação parcial deve ser feita nas suas cartas de decisão, sempre 
que as informações tenham sido recolhidas junto de terceiros. No que diz 
respeito ao pedido de apagamento do titular dos dados, o responsável pelo 
tratamento informou que os dados pessoais fornecidos seriam conservados 
durante a vida do requerente mais 10 anos. O responsável pelo tratamento 
explicou que os dados são conservados durante este período, uma vez que 
os dados em questão podem afetar quaisquer pedidos futuros do 
requerente.
Nos termos da secção 109(5)(c) da Lei de 2018, a DPC informou o 
titular dos dados de que a explicação apresentada pelo responsável 
pelo tratamento dos dados nas circunstâncias da sua reclamação era 
razoável. Embora o responsável pelo tratamento tenha reconhecido 
a divulgação dos dados pessoais do titular dos dados ao seu familiar, 
o requerente, emitiu um pedido de desculpas pelo mesmo e indicou 
que a carta de recusa original será alterada no seu sistema, 
enquanto uma carta atualizada será emitida ao requerente .
Posteriormente, o pedido de apagamento do titular dos dados foi recusado pelo 
responsável pelo tratamento de dados, uma vez que este informou que se baseava no 
artigo 17.º, n.º 3, alínea b), do RGPD, que restringe as obrigações dos responsáveis pelo 
tratamento de dados de apagar dados pessoais quando os dados pessoais são 
necessários para o cumprimento com uma obrigação legal. Além disso, o responsável 
pelo tratamento dos dados baseou-se no artigo 23.º, n.º 1, alínea e), do RGPD, que 
estabelece que os direitos do titular dos dados podem ser restringidos para:
Além disso, nos termos da secção 109(5)(f) da Lei de 2018, a DPC recomendou que 
o responsável pelo tratamento de dados fornecesse formação atualizada ao seu 
pessoal relativamente às suas orientações para cartas de decisão.
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 63
ESTUDO DE CASO 72
Divulgação de dados pessoais
(Lei Aplicável — GDPR e Lei de Proteção de Dados de 2018)
Um titular de dados apresentou uma reclamação à Comissão 
de Proteção de Dados (DPC) contra a sua sociedade gestora 
proprietária (responsável pelo tratamento de dados) 
relativamente à divulgação dos seus dados pessoais ao 
abrigo do Regulamento Geral de Proteção de Dados (RGPD). 
O titular dos dados explicou à DPC que um e-mail contendo 
os seus dados pessoais foi distribuído por uma sociedade 
gestora de imóveis em nome de uma sociedade gestora de 
proprietários (OMC) e continha informações relativas ao 
pagamento de taxas anuais de serviços.
O responsável pelo tratamento informou a DPC que foi 
realizado um teste de equilíbrio e destacou que o tratamento 
dos dados pessoais era necessário para atingir o interesse 
legítimo da sociedade gestora em obter o pagamento das 
taxas de serviço.
Nos termos da secção 109(5)(c) da Lei de 2018, a DPC informou que o 
responsável pelo tratamento dos dados não foi capaz de fornecer 
uma base legal adequada para o tratamento de dados pessoais, 
conforme descrito na reclamação.
O resultado lembrou ao responsável pelo tratamento de dados as 
suas obrigações como responsável pelo tratamento de dados ao 
abrigo dos artigos 5, 6 e 24 do RGPD e ao abrigo da secção 109(5)(f) 
da Lei de 2018, o DPC recomendou que o responsável pelo 
tratamento de dados reveja o seu Memorando de Associação garantir 
o cumprimento das orientações da DPC; considerar métodos 
alternativos para resolver o não pagamento de taxas de serviço e 
considerar e equilibrar qualquer obrigação legal ou interesse legítimo 
com os direitos e interesses do titular dos dados.
Antes de contactar a DPC, o titular dos dados contactou o OMC para 
responder às suas preocupações relativamente à divulgação dos seus 
dados pessoais. A OMC respondeu que a sua política era incluir esses 
dados pessoais nos e-mails enviados a todos os clientes. O titular dos 
dados confirmou que não viu nem assinou esta política.
Após o envolvimento da DPC, o responsável pelo tratamento de 
dados citou uma cláusula no seu Memorando de Associação do OMC, 
que permitia a divulgação do pagamento ou não pagamento de 
taxas de serviço a outros proprietários de unidades.
A DPC forneceu a ambas as partes orientação deste escritório 
para consideração, “Considerações sobre proteção de dados 
relacionadas a empreendimentos de múltiplas unidades e 
empresas de gestão de proprietários”. A orientação indicou que 
a divulgação deve ser justificada como necessária e proporcional 
para atingir uma finalidade específica, explícita e legítima, de 
acordo com a lei de proteção de dados.
64 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 73
Medidas de segurança apropriadas para dados de saúde enviados por e-mail
A DPC recebeu uma reclamação do pai de uma 
criança cujos dados de saúde foram divulgados 
por engano a um terceiro desconhecido. Os dados 
constavam de um documento anexado a um e-
mail mal endereçado enviado por um funcionário 
de um órgão público.
Ao avaliar o assunto, a questão central identificada pela DPC foi a 
obrigação de um controlador de dados tomar medidas de segurança 
adequadas contra riscos, incluindo a divulgação não autorizadade 
dados pessoais. Deveriam ser identificadas medidas de segurança 
adequadas tendo em conta factores que incluíam a tecnologia 
disponível, os danos que poderiam ser causados pela divulgação e a 
natureza dos dados . Além disso, os responsáveis pelo tratamento 
devem tomar todas as medidas razoáveis para garantir que os seus 
funcionários estão cientes e cumprem essas medidas.
A criança foi submetida a avaliação de saúde por uma terapeuta 
contratada pelo órgão público. O terapeuta preparou um 
rascunho de relatório, que deveria ser enviado a um profissional 
sênior. Antes de enviá-lo, a terapeuta decidiu pedir uma segunda 
opinião a um colega. O colega não estava no consultório, então o 
terapeuta optou por enviar a minuta do relatório para o endereço 
de e-mail pessoal do colega. Logo após fazer isso, a terapeuta 
percebeu que o endereço de e-mail estava incorreto. O serviço de 
TI do órgão público não conseguiu recuperar o e-mail mal 
endereçado. O provedor de serviços de e-mail do destinatário 
confirmou que a conta do destinatário estava ativa, mas os e-
mails do órgão público solicitando ao destinatário que excluísse o 
e-mail mal endereçado não foram respondidos. O órgão público 
contatou os pais por telefone, pessoalmente e por escrito para 
informá-los do erro e pedir desculpas por isso. Também notificou 
a DPC sobre uma violação de dados pessoais. Posteriormente, o 
progenitor apresentou queixa à DPC.
A opinião da DPC era que o envio de um projecto de relatório para um 
endereço de correio electrónico pessoal era claramente inadequado 
tendo em conta o nível de segurança exigido e era contrário às 
políticas de protecção de dados do próprio órgão público. No entanto, 
a mera existência dessas políticas não foi suficiente para satisfazer a 
obrigação de tomar medidas razoáveis para garantir que os seus 
funcionários as conheciam e as cumpriam. O órgão público só o fez 
depois de a violação ter ocorrido.
Este caso destaca a abordagem baseada no risco da legislação de 
protecção de dados. O artigo 32.º do RGPD exige que os responsáveis 
pelo tratamento (e, quando aplicável, os subcontratantes) implementem 
medidas técnicas e organizacionais para garantir a segurança adequada 
dos dados pessoais que tratam. As pessoas que processam dados pessoais 
em nome do responsável pelo tratamento devem fazê-lo apenas de acordo 
com as instruções do responsável pelo tratamento e, portanto, devem 
estar cientes das medidas técnicas e organizacionais relevantes.
No âmbito do exame da denúncia, a DPC solicitou à autoridade pública 
que explicasse as medidas tomadas para garantir a eliminação do e-
mail mal endereçado, a sua política relativa ao envio de e-mails 
relacionados com o trabalho para os endereços pessoais dos 
funcionários e as medidas que estão a ser adotadas. para evitar a 
recorrência da violação.
A adequação das medidas de segurança será determinada por 
referência aos riscos: o risco que uma violação pode representar para 
os direitos e liberdades dos indivíduos e a possibilidade de vários tipos 
de violação, tais como a perda, divulgação ou acesso não autorizado 
aos dados. Os dados de categorias especiais, como os dados de saúde, 
têm proteção reforçada ao abrigo do Artigo 9 do RGPD. As medidas de 
segurança apropriadas para estas categorias de dados serão, 
portanto, provavelmente mais rigorosas. O controlador também deve 
ter em mente que os riscos mudam frequentemente ao longo do 
tempo; as medidas de segurança também devem ser adaptadas às 
circunstâncias.
Na sua resposta, o órgão público confirmou a sequência de eventos 
descritos acima, incluindo as suas tentativas de recuperar o e-mail e as 
suas interações com o fornecedor de serviços de e-mail. Informou à 
DPC que havia reeditado uma cópia de sua política de proteção de 
dados a todos os membros da equipe em que a terapeuta trabalhava, 
e escreveu-lhe lembrando que não é permitido enviar qualquer 
informação para endereços de e-mail pessoais, independentemente de 
se eles foram convidados a fazê-lo. Ficou claro que isto incluía 
relatórios e outra documentação relacionada com o trabalho. A 
proteção de dados foi adicionada como item fixo na agenda das 
reuniões bimestrais da equipe, e todos os membros da equipe foram 
agendados para treinamento de conscientização sobre proteção de 
dados.
DIVULGAÇÃO / DIVULGAÇÃO NÃO AUTORIZADA 65
Eletrônico
Marketing direto
ESTUDO DE CASO 74
Acusação da Viking Direct (Irlanda) Limited
Em abril de 2017, recebemos uma reclamação de um 
proprietário de empresa sobre e-mails de marketing não 
solicitados que o endereço de e-mail comercial estava 
recebendo da Viking Direct (Ireland) Limited. A queixosa 
indicou que já tinha contactado a empresa para solicitar 
a remoção do seu endereço de correio eletrónico 
comercial da lista de marketing, mas, apesar disso, 
continuaram a ser enviados mais e-mails de marketing.
A Viking Direct (Ireland) Limited foi objeto de uma 
investigação em 2012 devido a uma reclamação feita à 
DPC sobre e-mails de marketing não solicitados. Naquela 
época, concluímos aquela investigação com um alerta à 
empresa. Diante desse alerta, a DPC decidiu processar a 
empresa em relação à denúncia de 2017.
No Tribunal Distrital Metropolitano de Dublin, em 14 de maio de 
2018, a empresa declarou-se culpada de uma acusação de envio 
de um e-mail de marketing não solicitado para um endereço de e-
mail comercial, em violação do Regulamento 13(4) do S.I. N.º 336 
de 2011. Nos termos deste regulamento, é uma infracção enviar 
uma comunicação de marketing directo não solicitada por correio 
electrónico a um assinante (que inclui assinantes empresariais) 
quando esse assinante tiver notificado o remetente de que não 
consente na recepção de tal comunicação. O caso foi adiado para 
sentença até 11 de junho de 2018. Na audiência de sentença, o 
tribunal aplicou a Secção 1(1) da Lei de Liberdade Condicional de 
Infratores em vez de uma condenação e multa. A empresa 
concordou em cobrir os custos processuais incorridos pela DPC.
Durante a nossa investigação, a Viking Direct (Ireland) Limited 
confirmou que o queixoso tinha solicitado várias vezes para ser 
removido da sua lista de correio . Explicou que os processos 
internos de transferência de dados para a lista de supressão 
falharam e os dados permaneceram na lista de discussão. A 
empresa afirmou que os sistemas já foram corrigidos e testados, 
para que a situação não se repita. Pediu desculpas por qualquer 
inconveniente causado ao reclamante. A nossa investigação 
encontrou provas de três pedidos de exclusão enviados pelo 
reclamante à Viking Direct (Ireland) Limited por e-mail entre 30 de 
março de 2017 e 11 de abril de 2017.
66 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 75
Acusação de Clydaville Investments Limited, T/
A The Kilkenny Group
Relatório Anual 2018 Estudo de caso de maio 
a dezembro 16
O assunto foi levado ao Tribunal Distrital de Tralee em 15 de outubro 
de 2018. O réu enfrentou um total de quatro acusações. Dois deles 
diziam respeito a alegadas infracções ao Regulamento 13(1) do S .I . 
Não . 336 de 2011 para o envio de e-mails de marketing não solicitados 
ao reclamante em novembro de 2016 e novembro de 2017 sem o seu 
consentimento. Duas outras acusações relacionavam-se com alegadas 
contravenções do Regulamento 13(12) (c) do S .I . Não . 336 de 2011. 
Este regulamento prevê que uma pessoa não deverá enviar 
correspondência electrónica de marketing que não possua um 
endereço válido para o qual o destinatário possa enviar um pedido de 
cessação dessa comunicação.
Como não foram apresentadas confissões de culpa em nenhuma 
das acusações, o assunto foi submetido a uma audiência plena 
envolvendo três testemunhas de defesa e duas testemunhas de 
acusação, incluindo o queixoso. No final do processo, o tribunal 
concluiu que os factos estavam provados em relação a duas 
infrações ao Regulamento 13 (1) relacionadascom o envio de dois 
e-mails de marketing sem consentimento. Entendendo que o 
arguido pagaria as custas judiciais de 1.850 euros, o tribunal 
aplicou a Secção 1(1) da Lei de Liberdade Condicional de 
Infratores em relação a ambas as acusações, em vez de uma 
condenação e multa. O tribunal rejeitou as duas acusações 
relativas ao Regulamento 13(12)(c).
Em novembro de 2017, recebemos uma reclamação 
de um indivíduo que recebeu um e-mail de 
marketing do Grupo Kilkenny. O e-mail, que lhe foi 
endereçado pessoalmente, promovia uma 
promoção pré-natalina e informava que havia até 
50% de desconto e que tudo estava reduzido. O 
reclamante informou-nos que não acreditava ter 
optado por receber e-mails de marketing.
Durante a nossa investigação, descobriu-se que um e-mail de 
marketing anterior tinha sido enviado ao mesmo reclamante um 
ano antes, em novembro de 2016, convidando-o para um evento 
corporativo na loja de Cork da empresa. O queixoso informou-nos 
posteriormente que se lembrava de ter respondido a esse e-mail, 
solicitando que o seu endereço de e-mail fosse eliminado. Em 
setembro de 2012, decorrente da nossa investigação de uma 
reclamação sobre mensagens de texto de marketing não 
solicitadas enviadas pelo Grupo Kilkenny a um reclamante 
diferente, emitimos um aviso à empresa. Diante disso, a DPC 
decidiu processar a empresa em relação à denúncia de 2017.
ESTUDO DE CASO 76
Acusação da DSG Retail Ireland Limited
DSG Retail Ireland Limited opera sob vários nomes 
comerciais e nomes comerciais registrados, como 
Dixons, Currys, PC World e Currys
Mundo PC. Em novembro de 2017, recebemos uma 
reclamação de uma mulher que havia comprado 
uma televisão da Currys um ano antes. Informou-
nos que forneceu o seu endereço de e-mail à 
empresa para efeitos de recepção de recibo e que 
não consentiu em receber e-mails de marketing. Ela 
afirmou que cancelou o recebimento de novos e-
mails, mas os e-mails não solicitados continuaram.
Durante nossa investigação, a empresa nos informou que o cliente 
cancelou com sucesso a inscrição em sua lista de e-mails em 
novembro de 2016. No entanto, quando ela fez uma nova compra 
em janeiro de 2017 e mais uma vez optou por não receber 
comunicações de marketing, foi criado um registro duplicado após 
a segunda transação do cliente. Segundo a empresa, esse registro 
duplicado, aliado a um bug de sistema surgido durante uma 
atualização de seus sistemas em maio de 2017, resultou em um 
erro quanto ao registro das preferências de marketing do cliente. 
Como resultado, houve um período entre agosto e novembro de 
2017 durante o qual foram enviados e-mails de marketing para 
ela.
MARCAÇÃO DIRETIVA ELETRÔNICA 67
Traduzido do Inglês para o Português - www.onlinedoctranslator.com
https://www.onlinedoctranslator.com/pt/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution
Como já havíamos emitido um alerta à empresa em 
novembro de 2014, após uma reclamação anterior de um 
membro do público sobre uma suposta violação dos 
regulamentos em relação a e-mails de marketing não 
solicitados, a DPC decidiu processar a empresa em 
relação ao última suspeita de contravenção.
336 de 2011 para o envio de e-mail de marketing não 
solicitado à reclamante sem o seu consentimento. Em vez 
de condenação e multa, o tribunal ordenou que a empresa 
fizesse uma doação de caridade de 1.500 euros ao Peter 
McVerry Trust. A empresa demandada concordou em 
cobrir os custos processuais da DPC. A confirmação da 
doação de caridade foi posteriormente fornecida ao 
tribunal em 26 de novembro de 2018 e o assunto foi 
arquivado.
No Tribunal Distrital Metropolitano de Dublin, em 22 de outubro 
de 2018, a empresa declarou-se culpada em relação a uma 
acusação por violação do Regulamento 13(1) do S .I . Não .
ESTUDO DE CASO 77
Acusação da Vodafone Ireland Limited
Em maio de 2018, recebemos uma reclamação de um 
indivíduo que afirmava receber frequentemente 
chamadas não solicitadas da equipa de marketing da 
Vodafone. Afirmou que a Vodafone lhe telefonou 
inicialmente em 10 de maio de 2018, altura em que 
afirmou não estar interessado na oferta; desde então, a 
empresa ligava para ele todos os dias. Ele ignorou as 
comunicações.
Em resposta às nossas indagações, a Vodafone referiu-se a um 
relatório de violação de dados que apresentou à DPC em 21 de junho 
de 2018. Este relatório notificou a DPC de que vários clientes que 
optaram por não receber marketing entre 18 de maio e 11 de junho 
de 2018 receberam erroneamente comunicações de marketing devido 
a dificuldades na implementação de alterações no sistema como 
parte do seu programa de conformidade com o GDPR. Isto resultou 
em que as preferências de marketing recentemente alteradas não 
fossem lidas claramente em todos os seus sistemas e, 
consequentemente, os clientes em causa foram erroneamente 
incluídos nas campanhas de marketing.Durante a nossa investigação, confirmámos que uma gravação da 
chamada telefónica de marketing de 10 de maio de 2018 incluía o 
queixoso a informar o agente chamador de que não estava 
interessado no serviço de banda larga da Vodafone. A Vodafone 
informou-nos que o agente deveria ter retirado o número de telefone 
da campanha de marketing, utilizando um código adequado ao 
encerrar a chamada. Um erro humano fez com que a ligação fosse 
encerrada com um código incorreto para retorno de chamada - o que 
significa que o número de telefone do reclamante permaneceu, 
levando a novas ligações.
A DPC decidiu processar a Vodafone em ambos os casos. No 
Tribunal Distrital Metropolitano de Dublin, em 22 de outubro de 
2018, a empresa declarou-se culpada em relação a duas 
acusações por infrações ao Regulamento 13(6)(a) do S .I . Não . 
336 de 2011 pela realização de chamadas telefónicas de 
marketing não solicitadas para os telemóveis dos dois 
denunciantes sem o seu consentimento. O tribunal condenou a 
Vodafone pelas duas acusações e impôs multas de 1.000 euros em 
relação a cada uma das duas acusações (uma multa total de 2.000 
euros). A Vodafone concordou em cobrir os custos processuais da 
DPC.
Recebemos uma reclamação separada em julho de 2018 de um 
cliente da Vodafone. Informou ter recebido uma chamada 
telefónica de marketing não solicitada da Vodafone em junho de 
2018, apesar de ter optado por não receber chamadas telefónicas 
de marketing durante uma chamada telefónica de marketing não 
solicitada anterior em maio de 2018, cuja confirmação lhe foi 
enviada por email pouco depois.
68 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 78
Acusação de Starrus Eco Holdings Limited, T/
A Panda e Greenstar
Em Abril de 2018, um cliente do fornecedor de serviços de 
recolha de lixo, Panda, queixou-se connosco de ter recebido 
SMS e mensagens de e-mail de marketing não solicitadas, com 
as quais não tinha consentido, publicitando o negócio de 
electricidade da Panda. Ele afirmou que as mensagens não 
ofereciam a opção de cancelamento de assinatura.
Em resposta às nossas perguntas, a Greenstar informou-nos 
que, dado o lapso de tempo (que reconheceu não ser 
absolutamente desculpa) desde a reclamação de 2011, os seus 
registos relativos ao reclamante não eram o que deveriam ter 
sido no que diz respeito ao reclamante ter optado 
anteriormente de receber marketing da empresa — que nem 
os dados do reclamante nem os detalhes da reclamação de 
2011 eram precisos e atualizados, na medida em que não 
deveria ter utilizado o número de telemóvel do reclamante 
para fins de marketing.Durante a nossa investigação, fomos informados pela 
Panda que o reclamante não deveria ter recebido as 
mensagens de marketing. Afirmou que, devido a um erro 
humano, um membro da equipe do departamento de 
marketing acreditou incorretamente que o reclamante 
havia consentido em receber mensagens de marketing 
direto. Lamentou não ter incluído um opt-out nas 
mensagens e explicou que o seu prestador de serviços de 
e-mails de marketing não agiu de acordo com as suas 
instruçõespara incluir um opt-out. Em maio de 2018, 
recebemos uma reclamação de um cliente da Greenstar, 
outro prestador de serviços de recolha de lixo. Este 
indivíduo já havia reclamado conosco em 2011 sobre 
mensagens de texto de marketing não solicitadas enviadas 
a ele sem consentimento. Concluímos essa reclamação 
anterior emitindo um aviso à Greenstar em setembro de 
2011 .
À luz do nosso aviso anterior, a DPC decidiu processar a Starrus 
Eco Holdings Limited, a T/A Panda e a Greenstar relativamente aos 
delitos cometidos em ambos os casos. No Tribunal Distrital 
Metropolitano de Dublin, em 24 de outubro de 2018, a empresa 
declarou-se culpada em relação a acusações por infrações ao 
Regulamento 13(1) do S .I . Não . 336 de 2011 para o envio de 
mensagens SMS de marketing não solicitadas aos dois 
reclamantes sem o seu consentimento. Em vez de uma 
condenação e multa, o tribunal ordenou que a empresa fizesse 
uma doação de caridade de 2.000 euros ao Peter McVerry Trust. A 
empresa demandada concordou em cobrir os custos processuais 
da DPC. A confirmação da doação de caridade foi posteriormente 
fornecida ao tribunal em 15 de novembro de 2018 e o assunto foi 
arquivado.
ESTUDO DE CASO 79
Acusação da Vodafone Ireland Limited
Em abril de 2019, a DPC recebeu duas reclamações 
distintas de um indivíduo que tinha recebido 
comunicações de marketing direto não solicitadas por 
texto e por e-mail do operador de rede móvel 
Vodafone. O indivíduo afirmou que a Vodafone 
ignorou as configurações de preferências dos 
clientes, que registaram que não pretendiam receber 
tal marketing.
No caso da mensagem SMS, a Vodafone confirmou que um texto 
oferecendo aos destinatários a oportunidade de ganhar bilhetes para 
um jogo de rugby Irlanda-França foi enviado a cerca de 2.436 clientes 
que já tinham optado por não receber marketing direto por texto. Isto 
ocorreu como resultado de uma falha na aplicação de um filtro de 
preferências de marketing à campanha publicitária por SMS antes de 
ela ser enviada.
No caso do email recebido pelo reclamante, foi utilizada 
erradamente uma aplicação que se destinava a enviar 
marketing direto a potenciais clientes e a mensagem foi 
enviada a clientes existentes da Vodafone. Embora a 
Vodafone não tenha conseguido confirmar de forma definitiva 
o número de clientes que foram contactados por email 
contrário à sua preferência, o email marketing foi enviado
Durante a nossa investigação, a Vodafone confirmou que o 
reclamante tinha optado por não receber contacto de marketing 
direto, mas que as comunicações lhe foram enviadas devido a erro 
humano, tanto no caso das mensagens de texto como nas 
campanhas de email marketing.
MARCAÇÃO DIRETIVA ELETRÔNICA 69
para 29.289 clientes existentes da Vodafone. A empresa confirmou 
que cerca de 2.523 dos 7.615 deles foram contatados por engano. 
No entanto, não foi possível associar os restantes 21.674 clientes a 
quem foi enviado o mesmo email às suas preferências de 
marketing no data warehouse da Vodafone para confirmar o 
número total contactado erroneamente.
o número de telemóvel do reclamante não foi retirado da 
plataforma utilizada para envio de comunicações de 
marketing quando o seu número já não estava ativo na rede. 
Dado que a DPC já havia processado a Vodafone em 2011, 
2013 e 2018 em relação a infrações de marketing eletrónico 
direto, decidimos iniciar um processo judicial em relação a 
estas reclamações.
A DPC também recebeu uma reclamação separada em 
fevereiro de 2019 de outro indivíduo que era ex-cliente da 
Vodafone. Este cliente tinha deixado de ser cliente da 
Vodafone há mais de cinco anos e continuava a receber 
mensagens de texto promocionais. No decurso da nossa 
investigação, a Vodafone confirmou que as mensagens de 
marketing direto foram enviadas por engano ao reclamante. 
Disse que neste caso excepcional,
No Tribunal Distrital Metropolitano de Dublin, em 29 de julho de 2019, a 
Vodafone se declarou culpada de cinco acusações de envio de 
comunicações de marketing direto não solicitadas, em violação do S.I. 
Não . 336 de 2011 («Regulamentos sobre Privacidade Eletrónica») . A 
empresa foi condenada e multada em 1.000 euros por cada uma das três 
acusações e condenada e multada em 750 euros cada, relativamente às 
duas acusações restantes.
ESTUDO DE CASO 80
Acusação de Just-Eat Ireland Limited
Recebemos uma reclamação de um indivíduo em 
novembro de 2018 relativa a e-mails de marketing direto 
não solicitados da Just-Eat Ireland Limited. O reclamante 
cancelou a assinatura dos e-mails de marketing direto da 
empresa, mas vários dias depois recebeu um e-mail de 
marketing não solicitado. Durante a investigação desta 
reclamação, a empresa informou-nos que a tentativa do 
reclamante de cancelar a subscrição não teve sucesso 
devido a um problema técnico com a sua plataforma de e-
mail. Este problema afetou 391 clientes na Irlanda.
Como a Just-Eat Ireland Limited já havia sido avisada pela 
DPC em 2013, após reclamações relacionadas a e-mails de 
marketing direto não solicitados, decidimos iniciar um 
processo judicial.
No Tribunal Distrital Metropolitano de Dublin, em 29 de julho de 2019, a Just-
Eat Ireland Limited se declarou culpada de uma acusação relacionada ao 
envio de um e-mail de marketing direto não solicitado. O tribunal aplicou a 
secção 1(1) da Lei de Liberdade Condicional de Infratores em vez de uma 
condenação e multa com base no facto de a empresa doar 600 euros à 
instituição de caridade Peter McVerry Trust.
ESTUDO DE CASO 81
Processo de Cari's Closet Limited
Em maio de 2018, recebemos uma reclamação contra o 
varejista de moda on-line Cari's Closet de um indivíduo 
que já havia feito um pedido on-line na empresa. A 
reclamação dizia respeito ao recebimento de três e-
mails de marketing direto não solicitados. A mesma 
pessoa já havia
queixou-se à DPC em janeiro de 2018 sobre e-mails 
não solicitados daquela empresa. Naquela ocasião, 
o reclamante disse ter recebido mais de quarenta 
e-mails de marketing apenas em um mês. A 
pessoa tentou, sem sucesso, cancelar a assinatura 
em algumas ocasiões.
Cari's Closet atribuiu a falha em cancelar adequadamente a 
assinatura de e-mails do reclamante a um erro genuíno de sua 
parte.
Como a DPC emitiu uma advertência em abril de 2018 em 
relação à denúncia anterior, decidimos iniciar um 
processo judicial contra a empresa.
No Tribunal Distrital Metropolitano de Dublin, em 29 de julho de 2019, Cari's 
Closet se declarou culpado de uma acusação de envio de um e-mail de 
marketing direto não solicitado ao reclamante. Em vez de uma condenação e 
multa, o tribunal aplicou a secção 1(1) da Lei de Liberdade Condicional de 
Infratores com base no facto de a empresa doar 600 euros à instituição de 
caridade Little Flower Penny Dinners.
70 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 82
Acusação de Shop Direct Ireland Limited T/
A Littlewoods Ireland
Em maio de 2019, a DPC recebeu uma reclamação de 
um indivíduo que afirmou ter recebido mensagens de 
texto de marketing direto de Littlewoods desde março. 
O autor da denúncia afirmou ter seguido as instruções 
para cancelar a subscrição, enviando cinco vezes a 
palavra «STOP» para um número designado conhecido 
como código curto, mas não conseguiu cancelar a 
inscrição e continuou a receber mensagens de texto de 
marketing.
incluiu erroneamente a palavra-chave de exclusão 'STOP' em vez 
de 'LWISTOP' no final dos textos de marketing.
A Shop Direct Ireland Limited já havia sido processada pela DPC em 
2016 em relação a um problema semelhante, que resultou na 
tentativa de um cliente, sem sucesso, de cancelar a assinatura de e-
mails de marketing direto. Nessa ocasião, o resultado do tribunal 
resultou na doação de 5.000 euros por parte da empresa para 
instituições de caridade, em vez de condenação e multa.
A DPC decidiu processar a empresa por infrações de 
marketing eletrónico direto em relação à denúncia de 
maio de 2019.
No decurso dasnossas investigações, a Shop Direct Ireland 
Limited (T/A Littlewoods Ireland) confirmou que tinha um registo 
da recusa do reclamante de receber textos de marketing direto 
submetidos através das suas definições de conta no website da 
Littlewoods em 8 de maio de 2019. No entanto, não tinha registo 
das suas tentativas de exclusão de textos de marketing direto em 
ocasiões anteriores utilizando o código curto SMS. Isto ocorreu 
devido a um erro humano na configuração do conteúdo das 
mensagens de marketing SMS. A empresa afirmou que o 
responsável pela preparação e envio de conteúdos relativos a 
textos de marketing tinha
No Tribunal Distrital Metropolitano de Dublin, em 29 de julho de 2019, 
a Shop Direct Ireland Limited (T/A Littlewoods Ireland) declarou-se 
culpada de duas acusações relacionadas com o envio de mensagens de 
texto de marketing direto não solicitadas. O tribunal decidiu que a 
empresa seria poupada de uma condenação e multa se doasse € 2.000 
cada para as instituições de caridade Peter McVerry Trust e Little Flower 
Penny Dinners e a seção 1(1) da Lei de Liberdade Condicional de 
Infratores fosse aplicada.
ESTUDO DE CASO 83
Vodafone procura detalhes de emprego junto dos clientes
A DPC recebeu diversas consultas relativas a clientes 
novos ou existentes que foram solicitados pela Vodafone 
a apresentarem os seus dados laborais e número de 
telefone profissional como requisito para a prestação do 
serviço por aquela empresa.
princípio de limitação da finalidade, conforme estabelecido no Artigo 5 
do GDPR. Terceiro, também havia preocupações entre os clientes de 
que o aviso de proteção de dados/privacidade da empresa não 
cumpria o requisito de transparência do Artigo 13(1) do GDPR.
Após contacto com a DPC, a Vodafone admitiu ter cometido um 
erro na recolha desta informação. A empresa afirmou que os 
problemas foram causados por um sistema informático antigo 
que não tinha sido actualizado para eliminar este requisito e que 
qualquer acesso aos dados era excepcionalmente limitado e não 
era utilizado para quaisquer fins de processamento adicionais 
por parte deles. A Vodafone iniciou imediatamente um plano 
para remediar os problemas causados e, por insistência da DPC, 
publicou no seu site o detalhe do ocorrido, para que os clientes 
tomassem conhecimento do problema.
As preocupações que surgiram foram que os pedidos eram 
excessivos e contrários ao princípio do artigo 5.º da recolha legal, 
justa e transparente, uma vez que o tratamento de dados 
relativos à sua situação profissional não estava totalmente 
relacionado com o produto ou serviço que recebiam da empresa 
de telecomunicações, que era apenas para uso pessoal ou 
doméstico.
Em segundo lugar, havia preocupações de que o pedido obrigatório de 
ocupação/local de trabalho/número de telefone comercial de um cliente 
não fosse adequado, relevante ou necessário ao abrigo do requisito de 
“minimização de dados” e não cumprisse os requisitos
MARCAÇÃO DIRETIVA ELETRÔNICA 71
ESTUDO DE CASO 84
Acusação de Three Ireland (Hutchison) Limited (ePrivacy)
Em fevereiro de 2021, a DPC recebeu uma reclamação de 
um indivíduo relativa a correio eletrónico de marketing 
não solicitado que tinha recebido da empresa de 
telecomunicações Three Ireland (Hutchison) Limited. O 
reclamante optou por não receber e-mails de marketing 
em meados de fevereiro de 2021.
dados de permissões. Ele também configurou um alerta por e-mail para 
monitorar o script e emitir um alerta caso o script pare de funcionar.
O DPC já havia processado a Three Ireland (Hutchison) 
Limited em 2020 e 2012 por violação do Regulamento 13 
do Regulamento de Privacidade Eletrônica em relação a 
reclamações anteriores. Assim, a DPC decidiu prosseguir 
com outro processo decorrente deste caso de 
reclamação.
Em resposta à investigação da DPC, a Three Ireland (Hutchison) Limited 
explicou que quando tentou executar o pedido de exclusão, surgiu um 
problema de um cenário de dois registos serem enviados 
simultaneamente e perderem a sequência, resultando na não 
atualização correta do seu sistema. Como resultado, foram enviadas 
mais três mensagens de correio eletrónico de marketing ao autor da 
denúncia nas semanas seguintes. A Three Ireland (Hutchison) Limited 
declarou que solucionou o problema implementando um roteiro para 
resolver diferenças entre
No Tribunal Distrital Metropolitano de Dublin, em 6 de setembro de 2021, a 
Three Ireland (Hutchison) Limited se declarou culpada de duas acusações 
nos termos do Regulamento 13(1) dos Regulamentos de Privacidade 
Eletrônica. O Tribunal Distrital aplicou a Lei de Liberdade Condicional de 
Infratores de 1907, com base numa doação de caridade de 3.000 euros à 
Little Flower Penny Dinners. A Three Ireland (Hutchison) Limited concordou 
em pagar as custas judiciais da DPC.
ESTUDO DE CASO 85
Acusação da Vodafone Ireland Limited (ePrivacy)
Em agosto de 2019, março e setembro de 2020, a DPC 
recebeu três reclamações de indivíduos relativamente a 
chamadas telefónicas de marketing não solicitadas, 
mensagens de texto e e-mails que receberam da Vodafone 
Ireland Limited. Em resposta à investigação da DPC sobre 
a primeira reclamação, a Vodafone Ireland Limited 
explicou que o antigo cliente ligou para a Vodafone Ireland 
Limited em sete ocasiões distintas para tentar cancelar o 
recebimento de chamadas telefónicas de marketing no 
seu telemóvel. Em cada ocasião, o agente com quem 
falaram não seguiu os procedimentos adequados e isso 
fez com que o antigo cliente não fosse excluído do 
marketing e recebesse novas ligações de marketing. O 
queixoso encerrou a sua conta na Vodafone Ireland 
Limited e mudou para outro operador devido às chamadas 
telefónicas de marketing que recebeu.
chamadas telefónicas de marketing para o telemóvel do reclamante, uma 
vez que o seu agente não tomou qualquer medida para alterar as 
preferências de marketing do reclamante.
No outro caso, o queixoso preencheu um formulário de 
transferência de propriedade no qual expôs claramente as suas 
preferências de marketing para não receber quaisquer 
comunicações de marketing da Vodafone Ireland Limited. O 
agente responsável pela transação não seguiu um processo para 
inserir as preferências de marketing do cliente. Como resultado, o 
cliente recebeu posteriormente mais 14 mensagens de marketing 
não solicitadas – sete e-mails e sete mensagens de texto.
A DPC já havia processado a Vodafone Ireland Limited 
em 2019, 2018, 2013 e 2011 por violação do 
Regulamento 13 do Regulamento de Privacidade 
Eletrônica em relação a reclamações anteriores. Assim, a 
DPC decidiu proceder a outro processo decorrente 
destes casos de denúncia.
Nos outros dois casos, os autores da denúncia são clientes 
existentes da Vodafone Ireland Limited. Num caso, o cliente 
recebeu uma chamada de marketing para o seu número de 
telemóvel em fevereiro de 2019 e, durante essa chamada, o 
cliente disse ao autor da chamada que não pretendia receber 
mais chamadas de marketing. Apesar deste pedido, a Vodafone 
Ireland Limited efectuou posteriormente mais doze
No Tribunal Distrital Metropolitano de Dublin, em 6 de setembro de 2021, 
a Vodafone Ireland Limited se declarou culpada de sete acusações nos 
termos do Regulamento 13(1) e 13(6)(a) dos Regulamentos de Privacidade 
Eletrônica. O Tribunal Distrital condenou a Vodafone Ireland Limited por 
sete acusações e impôs multas num total de 1.400 euros. A Vodafone 
Ireland Limited concordou em pagar as custas judiciais da DPC.
72 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 86
Acusação de Guerin Media Limited
Em janeiro de 2022, a DPC recebeu duas reclamações de 
dois indivíduos relativas a e-mails de marketing não 
solicitados recebidos da Guerin Media Limited. Em 
resposta à investigação das reclamações pela DPC, a 
Guerin Media Limited explicou que os dados de contacto 
de e-mail dos dois indivíduos tinham sido previamente 
removidos de todas as listas de marketingmantidas pela 
empresa, com exceção de uma lista de contactos do 
Gmail que ela mantém. Afirmou que, devido a erro 
humano e ao facto dos seus dados terem permanecido 
na lista de contactos do Gmail, ambos os indivíduos 
receberam e-mails de marketing da Guerin Media 
Limited, o que não deveria ter ocorrido.
A DPC já havia processado a Guerin Media em 2019 por violação do 
Regulamento 13 do Regulamento de Privacidade Eletrônica em 
relação a reclamações anteriores sobre incidentes semelhantes de 
marketing por email não solicitado. Assim, a DPC decidiu proceder a 
outro processo decorrente destes casos de denúncia. No Tribunal 
Distrital de Naas, em 5 de dezembro de 2022, a Guerin Media Limited 
se declarou culpada de três acusações nos termos do Regulamento 
13(1) dos Regulamentos de Privacidade Eletrônica. O Tribunal Distrital 
condenou a Guerin Media Limited pelas três acusações e aplicou 
multas num total de 6.000 euros. A Guerin Media Limited concordou 
em pagar € 1.000 para as custas judiciais da DPC.
ESTUDO DE CASO 87
Acusação da Vodafone Ireland Limited
Em julho de 2021, a DPC recebeu uma reclamação de 
um indivíduo relativa a uma chamada telefónica de 
marketing não solicitada recebida da Vodafone Ireland 
Limited. Em resposta à investigação da reclamação 
pela DPC, a Vodafone Ireland Limited explicou que o 
cliente existente optou por não receber comunicações 
de marketing em março de 2018. Apesar disso, a 
Vodafone Ireland Limited realizou uma verificação 
manual de preferências antes de conduzir uma 
campanha de marketing , e devido a erro humano, o 
reclamante foi incluído na campanha de marketing.
A DPC já havia processado a Vodafone Ireland Limited em 2021, 2019, 
2018, 2013 e 2011 por violação do Regulamento 13 do Regulamento de 
Privacidade Eletrônica em relação a reclamações anteriores. Assim, a 
DPC decidiu prosseguir com outro processo decorrente deste caso de 
reclamação. No Tribunal Distrital Metropolitano de Dublin, em 27 de 
junho de 2022, a Vodafone Ireland Limited se declarou culpada de uma 
acusação nos termos do Regulamento 13(6) dos Regulamentos de 
Privacidade Eletrônica. O Tribunal Distrital aplicou a Lei de Liberdade 
Condicional de Infratores de 1907 neste caso, com base numa doação 
de caridade de 500 euros à Little Flower Penny Dinners. A Vodafone 
Ireland Limited concordou em pagar as custas judiciais da DPC.
MARCAÇÃO DIRETIVA ELETRÔNICA 73
Apagamento
ESTUDO DE CASO 88
Retenção de dados pessoais de menores por uma Agência 
Estatal (Resolução Amigável) (Lei Aplicável — Leis de Proteção 
de Dados, 1988 e 2003)
Neste caso, os queixosos envolvidos tinham solicitado 
anteriormente que uma agência estatal irlandesa apagasse 
um ficheiro relativo a um incidente na escola envolvendo o 
seu filho pequeno, que tinha sido originalmente notificado à 
agência. No entanto, embora a agência tenha decidido que o 
incidente não justificava uma investigação mais 
aprofundada, recusou-se a apagar os dados pessoais do 
menor – indicando que tais ficheiros são retidos até que o 
menor em questão atinja a idade de 25 anos.
A Comissão de Proteção de Dados (DPC) solicitou que o órgão 
estadual delineasse sua base legal para a retenção de dados 
pessoais do menor. A agência forneceu-os e citou a sua 
política de retenção conforme declarada aos queixosos, mas a 
DPC não considerou um período de retenção geral aplicável 
nas circunstâncias específicas.
A DPC informou ambas as partes sobre o processo de resolução 
amigável e ambas manifestaram a vontade de participar no 
mesmo. Após um envolvimento iterativo entre os reclamantes e o 
controlador para discutir o assunto, a agência estatal confirmou 
aos reclamantes que o arquivo contendo os dados pessoais de 
seus filhos seria excluído.
ESTUDO DE CASO 89
Pedido de exclusão feito ao mecanismo de pesquisa da Internet 
(Lei Aplicável - GDPR e Lei de Proteção de Dados de 2018)
Um titular de dados apresentou uma reclamação contra um 
motor de pesquisa da Internet relativamente à resposta do 
motor de pesquisa ao seu pedido de exclusão. A 
reclamação dizia respeito a dois URLs que apareciam como 
resultados de pesquisas pelo nome do indivíduo no 
mecanismo de busca. Durante o manuseio deste
reclamação, o indivíduo incluiu mais um URL que 
procurou o mecanismo de pesquisa para remover.
O critério a aplicar pelos motores de busca é que a exclusão 
deve ocorrer se os resultados forem irrelevantes, 
inadequados ou excessivos. Um equilíbrio caso a caso
74 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
o exercício deve ser conduzido pelo mecanismo de pesquisa que 
equilibra os direitos de acesso e os direitos dos indivíduos afetados 
pelos resultados da pesquisa.
é necessária “para o exercício do direito à liberdade de expressão 
e informação”. Ao examinar esta reclamação, a DPC observou que 
as informações contidas nas páginas da Web — objeto da 
reclamação do indivíduo — referem-se à conduta comercial 
anterior deles relevante para a sua vida profissional. O indivíduo 
continua a exercer a mesma esfera e atividades profissionais. O 
indivíduo aceitou isso argumentando que o conteúdo estava 
impactando sua vida profissional. O indivíduo argumentou que o 
conteúdo era impreciso porque era difamatório. A DPC observou 
que uma maioria significativa do conteúdo que o indivíduo disse 
ser impreciso era uma postagem de blog e comentários de 
terceiros e relacionados às suas atividades profissionais; 
parecendo ser as opiniões de comentaristas terceiros.
O indivíduo inicialmente se envolveu pessoalmente com o 
mecanismo de pesquisa buscando a remoção dos URLs 
porque argumentou que os URLs continham conteúdo 
difamatório, tornando ilegal seu processamento, e que os 
URLs estavam impactando a vida privada e profissional do 
indivíduo devido ao seu conteúdo. O operador do motor de 
busca recusou-se a remover os URLs porque se referiam a 
informações sobre a vida profissional do indivíduo e havia 
interesse público em aceder a essas informações.
A DPC conversou com o operador do mecanismo de 
pesquisa sobre sua recusa de exclusão. O operador do 
motor de pesquisa baseou-se no interesse legítimo de 
terceiros para aceder às informações constantes dos URL. 
Nenhum processo de difamação foi iniciado pelo indivíduo 
contra os editores originais do conteúdo relevante e, 
portanto, não foi possível decidir definitivamente se o 
conteúdo dos URLs era difamatório ou não.
A DPC concluiu que se um terceiro considerasse as páginas da Web 
objeto desta reclamação, ficaria claro que os comentários foram feitos 
como conteúdo gerado pelo usuário e representam opiniões de 
terceiros, em vez de aparecerem como fatos verificados. A função do 
motor de pesquisa na listagem não é contestar ou censurar as 
opiniões de terceiros, a menos que a listagem de resultados dê origem 
a um tratamento de dados pessoais por parte do motor de pesquisa 
que seja irrelevante, inadequado ou excessivo.Dito isto, durante o tratamento desta reclamação pela DPC, o 
operador do motor de pesquisa retirou os URLs apenas na 
Irlanda com base nos argumentos de difamação do indivíduo. 
O indivíduo continuou com a sua queixa DPC visando a 
exclusão da lista em toda a Europa e não apenas na Irlanda. 
Além disso, as páginas Web subjacentes a todos os três URLs 
foram desativadas pelo webmaster durante o tratamento 
desta reclamação .
A DPC concluiu que dado o papel empresarial do indivíduo e 
o papel na vida pública decorrente da sua vida profissional, 
existe um interesse público em aceder à informação relativa 
à sua vida profissional na União Europeia. A DPC escreveu ao 
indivíduo e, nos termos da secção 109(5)(b) da Lei de 2018, 
rejeitou a reclamação do indivíduo com base nas 
considerações acima.O Artigo 17(3)(a) do GDPR afirma que o direito ao esquecimento não 
se aplicará quando o processamento de dados pessoais
ESTUDO DE CASO 90
Direito de ser esquecido (Microsoft)
A reclamação dizia respeito à insatisfação do 
indivíduo com a respostada Microsoft Ireland 
Operations Limited (controlador de dados) ao seu 
pedido de direito de ser esquecido, nos termos do 
Artigo 17 do RGPD. O indivíduo solicitou a exclusão 
de dois URLs que retornavam no mecanismo de 
busca do controlador de dados ao pesquisar o nome 
do indivíduo. O controlador de dados confirmou ao 
indivíduo que os URLs foram removidos. Porém, uma 
busca pelo nome da pessoa física, realizada pelo seu 
representante legal, mostrou que as URLs 
continuaram sendo retornadas. A DPC analisou os 
URLs ao receber a reclamação e confirmou que os 
URLs ainda estavam sendo retornados.
A DPC interveio para tentar resolver o assunto de forma rápida e 
informal. A DPC se correspondeu com o controlador de dados e 
observou que, apesar da confirmação de que os URLs foram 
retirados da lista, eles continuaram a retornar ao pesquisar o 
nome do indivíduo. O responsável pelo tratamento investigou 
mais aprofundadamente o pedido e confirmou à DPC que os URL 
tinham sido retirados da lista. Após uma investigação mais 
aprofundada pela DPC, foi determinado que, embora os URLs 
originais solicitados para exclusão não aparecessem mais, um URL 
diferente estava aparecendo, distinto dos outros URLs, 
redirecionando para o mesmo conteúdo. O controlador de dados 
também removeu este URL a pedido feito pela DPC em nome do 
indivíduo. A DPC escreveu ao indivíduo e descreveu as ações do 
controlador de dados. A DPC confirmou que todos os três URLs 
foram retirados da lista pelo controlador de dados.
APAGAR 75
das autoridades de supervisão, neste caso a DPC, realizando as suas 
próprias investigações e garantindo que os pedidos dos indivíduos 
são satisfeitos em conformidade com o RGPD. O acima exposto é um 
exemplo de como a DPC tomou medidas extras para garantir
que o indivíduo pudesse alcançar um resultado satisfatório de 
forma abrangente, em vez de ter que enviar uma nova 
reclamação para o novo URL .
ESTUDO DE CASO 91
Solicitação de acesso e apagamento (Pinterest)
A reclamação dizia respeito à insatisfação do 
indivíduo com a resposta do Pinterest Europe 
(controlador de dados) aos seus pedidos de acesso e 
apagamento nos termos do artigo 15.º do RGPD e 
do artigo 17.º do RGPD, respetivamente. O indivíduo 
apresentou os seus pedidos após a suspensão da 
sua conta, a fim de obter uma cópia de todos os 
seus dados pessoais e de os eliminar dos sistemas 
do responsável pelo tratamento. A conta do 
indivíduo foi suspensa devido a uma violação das 
políticas do controlador de dados em relação a 
spam. O controlador de dados respondeu às 
solicitações por meio de resposta automática, 
afirmando que havia revisado a conta e decidido 
não reativá-la porque detectou atividades que 
violavam sua política de spam. Como resultado, o 
indivíduo não conseguiu mais acessar os dados 
pessoais armazenados em sua conta.
assunto e explicou que quando uma conta é suspensa com base 
em uma violação de spam, toda a correspondência é 
automaticamente direcionada para sua equipe de operações de 
spam. O controlador de dados explicou ainda o processo de 
apelação e observou que o indivíduo se correspondia com a 
equipe de Operações de Spam em relação à apelação de sua 
suspensão. A equipe de Operações de Spam não conseguiu 
identificar que a correspondência também incluía solicitações de 
acesso e exclusão do indivíduo e, portanto, isso não foi abordado 
em sua resposta . A resposta do controlador de dados também 
observou que, embora a equipe de Operações de Spam tivesse 
rejeitado o apelo do indivíduo à suspensão de sua conta, ela havia 
realizado outra revisão à luz de suas políticas de spam 
atualizadas. Após esta análise, o responsável pelo tratamento de 
dados reativou a conta do indivíduo.
O responsável pelo tratamento também reconheceu o 
atraso na resposta ao indivíduo e confirmou que, desde 
então, tomou medidas para garantir que tais atrasos não 
ocorreriam na resposta a pedidos futuros. O responsável 
pelo tratamento dos dados confirmou que atendeu aos 
pedidos de acesso e apagamento do indivíduo. 
Confirmou também que contactou o indivíduo para 
informá-lo das medidas tomadas em resposta à 
correspondência da DPC e forneceu ao indivíduo as 
explicações acima expostas. As ações tomadas e as 
explicações dadas pelo responsável pelo tratamento 
também foram descritas ao indivíduo pela DPC. O 
indivíduo informou à DPC que estava satisfeito com as 
ações tomadas pelo responsável pelo tratamento dos 
dados em resposta à correspondência da DPC, uma vez 
que lhe permitiu descarregar os seus dados e eliminar a 
sua conta.
A DPC aceitou a reclamação junto ao Pinterest. A DPC descreveu as 
preocupações do indivíduo em relação aos seus pedidos de acesso e 
apagamento e solicitou que o responsável pelo tratamento dos dados 
abordasse essas preocupações de forma mais substantiva. A DPC 
também solicitou que o controlador de dados indicasse se o indivíduo 
teve a oportunidade de recorrer da suspensão de sua conta e, em 
caso afirmativo, descrevesse o procedimento para tais recursos. O 
responsável pelo tratamento respondeu à DPC informando que havia 
investigado o
76 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 92
Direito de ser esquecido (Microsoft)
A reclamação dizia respeito à insatisfação do indivíduo 
com a resposta da Microsoft Ireland (controlador de 
dados) ao seu pedido de direito a ser esquecido nos 
termos do artigo 17.º do RGPD. O indivíduo solicitou que 
sete URLs fossem retirados da lista de retorno em uma 
pesquisa por seu nome no mecanismo de pesquisa do 
controlador de dados.
O indivíduo afirmou que o seu número de identidade 
nacional estava contido nos URLs devolvidos e levantou 
preocupações de que a disponibilidade do seu número de 
identidade nacional aumentava o risco de roubo de 
identidade.
A Autoridade de Protecção afirmou que devido à introdução do RGPD, 
a lei espanhola de protecção de dados foi modificada e o Governo já 
não está autorizado a divulgar o número de identificação nacional 
completo dos cidadãos juntamente com o seu nome e apelidos na 
divulgação de actos administrativos. Após esclarecimento da 
Autoridade Espanhola de Protecção de Dados, a DPC informou o 
responsável pelo tratamento dos dados sobre a alteração da lei 
espanhola de Protecção de Dados. O controlador de dados afirmou 
que, com base na atualização da lei espanhola de proteção de dados, 
removeria todos os URLs solicitados para serem retornados em nome 
do indivíduo, de acordo com o Artigo 17 do GDPR. Este caso destaca a 
importância da comunicação com outras autoridades de supervisão 
durante o processo de resolução de reclamações. Nessas 
circunstâncias, a DPC recebeu esclarecimentos sobre como a Espanha 
adaptou a sua legislação nacional para cumprir o RGPD. Permitiu 
também que o responsável pelo tratamento dos dados adaptasse o seu 
procedimento actual para garantir que os pedidos que envolvem a 
exclusão de URL contendo números de identidade nacional completos 
sejam tratados em conformidade com a legislação nacional actualizada.
A DPC interveio em nome do queixoso. O responsável pelo 
tratamento dos dados inicialmente recusou o pedido de 
exclusão, afirmando que os URLs continham informações de 
relevância pública e que as informações foram publicadas 
num boletim oficial de um órgão governamental; neste caso, o 
Governo espanhol. A DPC correspondeu-se com a Autoridade 
Espanhola de Proteção de Dados em relação à informação 
publicada nas URLs. Os dados espanhóis
ESTUDO DE CASO 93
Resolução amigável — direito ao apagamento e 
conteúdo gerado pelo usuário
Esta reclamação dizia respeito a uma recusa inicial do 
responsável pelo tratamento de dados em cumprir um 
pedido de apagamento apresentado pelo reclamante, nos 
termos do artigo 17.º do RGPD. O queixoso apresentou 
primeiro a sua reclamação através da Autoridade Espanhola 
de Protecção de Dados, a AEPD, que depois transferiu a 
reclamação para a DPC como Autoridade Supervisora 
Principal.em questão no contexto das suas próprias diretrizes de 
privacidade para a remoção de conteúdo do site e que 
consideraram que o conteúdo não infringia as mesmas.
A DPC solicitou que o responsável pelo tratamento revisse novamente o 
assunto, no espírito de resolver a reclamação de forma amigável. O 
responsável pelo tratamento dos dados voltou posteriormente a 
informar que, após uma avaliação mais aprofundada do conteúdo em 
questão, tinha tomado a decisão de remover a publicação da crítica na 
sua totalidade.
O queixoso afirmou que foram nomeados e, portanto, 
identificados, numa análise negativa relativa ao seu local 
de trabalho. A análise, acompanhada de uma imagem 
parcial do reclamante, foi publicada online. O queixoso 
solicitou a remoção do seu nome e de quaisquer imagens 
associadas da crítica.
Este estudo de caso demonstra os benefícios, para os reclamantes 
individuais, da intervenção da DPC por meio do processo de 
resolução amigável. Neste caso, isto levou o reclamante a poder 
afetar o seu direito de apagamento dos seus dados pessoais, 
concedido aos indivíduos nos termos do artigo 17.º do RGPD.
Durante o seu envolvimento com a DPC sobre o assunto, o 
controlador de dados informou que havia revisado o conteúdo
APAGAR 77
ESTUDO DE CASO 94
Resolução amigável numa reclamação transfronteiriça — direito 
ao apagamento
A DPC recebeu uma reclamação de um particular relativamente a 
um pedido de apagamento feito por este a um responsável pelo 
tratamento de dados, uma plataforma de reserva de alojamento, 
nos termos do artigo 17.º do RGPD. O reclamante começou a 
criar uma conta na plataforma do responsável pelo tratamento 
de dados, mas optou por abandonar o processo antes de este 
estar concluído. O reclamante comunicou então o seu pedido de 
apagamento ao responsável pelo tratamento dos dados por 
correio eletrónico e telefone. Em resposta ao pedido de 
apagamento, o responsável pelo tratamento dos dados informou 
ao reclamante que necessitava de um documento de identidade 
para dar cumprimento ao pedido de apagamento.
dação ou usar o serviço de qualquer forma. Na sequência da 
intervenção da DPC, o responsável pelo tratamento 
comprometeu-se a eliminar a conta do reclamante sem 
solicitar ao reclamante qualquer documentação adicional.
A DPC comunicou estes desenvolvimentos ao queixoso. O 
queixoso respondeu confirmando que aceitava a acção 
proposta e que o apagamento da conta resolveria a sua 
reclamação. A DPC contactou ainda o responsável pelo 
tratamento dos dados, que confirmou à DPC que tinha 
apagado a conta do queixoso. O responsável pelo 
tratamento também transmitiu esta confirmação de 
apagamento diretamente ao reclamante.
A reclamação foi resolvida amigavelmente de acordo com a seção 109 
da Lei de Proteção de Dados de 2018. Este estudo de caso demonstra 
os benefícios, para os indivíduos, da intervenção da DPC por meio do 
processo de resolução amigável. Em particular, este estudo de caso 
traz à tona a forma como a DPC pode ajudar um reclamante através 
do processo de resolução amigável. Isto inclui explicar as 
preocupações individuais do reclamante ao responsável pelo 
tratamento dos dados, sempre que o envolvimento inicial entre ele e 
o responsável pelo tratamento dos dados não tenha levado a uma 
resolução das suas preocupações . Neste caso, o envolvimento da DPC 
resultou na eliminação dos dados pessoais do reclamante pelo 
responsável pelo tratamento, nos termos do artigo 17.º, sem exigir 
qualquer ação adicional por parte do indivíduo.
A reclamação foi identificada como potencialmente passível de resolução 
amigável nos termos da Seção 109 da Lei de Proteção de Dados de 2018, e o 
controlador de dados concordou em trabalhar com o DPC para tentar 
resolver a reclamação amigavelmente. O responsável pelo tratamento dos 
dados forneceu à DPC as suas respostas ao reclamante relativas às questões 
levantadas na reclamação até ao momento e confirmou que, em resposta ao 
pedido de apagamento do reclamante, o responsável pelo tratamento dos 
dados tinha solicitado um documento de identidade.
No decurso da investigação da reclamação pela DPC, o responsável 
pelo tratamento também confirmou que a conta em questão nunca 
tinha sido utilizada para reservar ou hospedar alojamento.
ESTUDO DE CASO 95
Resolução amigável – direito ao apagamento
Esta reclamação dizia respeito à alegada não resposta a 
um pedido de apagamento feito pelo reclamante a um 
responsável pelo tratamento de dados nos termos do 
artigo 17.º do RGPD.
O responsável pelo tratamento informou a DPC que foi durante este período 
de transição do antigo sistema para o novo sistema que foi recebido o 
pedido de apagamento do titular dos dados. O responsável pelo tratamento 
de dados informou ainda que, embora novos funcionários estivessem a ser 
formados sobre como gerir estes tipos de pedidos durante este período, 
parecia ter sido perdida uma resposta ao pedido de eliminação. O 
responsável pelo tratamento afirmou que se tratou de um descuido, 
possivelmente devido a um problema técnico ou erro humano, e que 
lamentava o erro.
Após a recepção da queixa do queixoso, a DPC contactou ambas as 
partes em relação ao objecto da queixa. Na sequência deste 
compromisso, foi estabelecido que, durante a semana em que o 
reclamante enviou o seu pedido de apagamento por correio eletrónico 
ao responsável pelo tratamento, estava a ser implementado pelo 
responsável pelo tratamento um novo processo de gestão dos pedidos 
de apagamento de dados pessoais.
Nestas circunstâncias, o responsável pelo tratamento concordou em 
cumprir o pedido de apagamento e pediu sinceras desculpas pelo erro. O 
responsável pelo tratamento também confirmou posteriormente
78 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
à DPC que apagou os dados pessoais do denunciante. Nesta circunstância, a reclamação foi considerada 
resolvida amigavelmente e retirada, de acordo com a 
seção 109 da Lei de Proteção de Dados de 2018.
A DPC informou o reclamante sobre o resultado do seu envolvimento com o 
responsável pelo tratamento de dados, observando que as ações positivas 
tomadas pelo responsável pelo tratamento de dados pareciam dar resposta às 
preocupações levantadas na sua reclamação.
Este estudo de caso demonstra os benefícios, tanto para os responsáveis 
pelo tratamento de dados como para os reclamantes individuais, de se 
envolverem no processo de resolução amigável de uma forma significativa. 
Neste caso, a explicação detalhada do responsável pelo tratamento de 
dados sobre como ocorreu a supervisão, a sua oferta de um pedido de 
desculpas e o compromisso de resolver a questão para o reclamante, 
resultaram num bom resultado para ambas as partes. Mais importante 
ainda, o queixoso conseguiu exercer o seu direito de obter do responsável 
pelo tratamento o apagamento dos dados pessoais que lhe dizem respeito, 
tal como lhe é concedido ao abrigo do RGPD.
O queixoso confirmou posteriormente à DPC que concordava 
com a resolução amigável da sua queixa, uma vez que as 
suas preocupações foram agora resolvidas e que a sua 
queixa foi agora retirada.
ESTUDO DE CASO 96
Solicitação de apagamento e confiança no Código de Defesa do Consumidor
Na sequência de um pedido de cartão de crédito sem sucesso, o 
titular dos dados neste caso solicitou o apagamento dos seus 
dados pessoais nos termos do artigo 17.º do Regulamento Geral 
de Proteção de Dados (RGPD). Quando o pedido de apagamento 
foi recusado pelo responsável pelo tratamento dos dados, o titular 
dos dados manifestou preocupações à DPC de que os seus dados 
pessoais estavam a ser retidos ilegalmente. A DPC contactou o 
responsável pelo tratamento dos dados para avaliar a 
fundamentação de tal recusa.
Para referência, o CPC é um conjunto de regras e princípios que todas 
as empresas de serviços financeiros regulamentados devem seguir ao 
fornecer produtos e serviços financeiros aos consumidorese foi 
publicado pelo Banco Central da Irlanda em conformidade com a 
secção 117 da Lei do Banco Central de 1989. Nos termos da secção 
117(4) da Lei do Banco Central de 1989, é um crime uma empresa 
financeira regulamentada deixar de fornecer ao Banco Central 
informações para demonstrar a conformidade com o CPC.
As disposições 11.5 e 11.6 do CPC exigem que os responsáveis 
pelo tratamento de dados conservem os registos de um 
consumidor durante seis anos após a data em que uma 
determinada transacção for descontinuada ou concluída. Os 
registros exigidos incluem, mas não estão limitados a: todos os 
documentos exigidos para identificação do consumidor; os dados 
de contacto do consumidor; toda a correspondência com o 
consumidor; todos os documentos preenchidos ou assinados pelo 
consumidor. O titular dos dados contestou esta confiança, uma 
vez que nenhum serviço foi prestado, pelo que considerava que 
não era um consumidor e, como tal, sentia que o responsável pelo 
tratamento dos dados não tinha o direito legal de manter os 
dados pessoais. O CPC define um consumidor e inclui, quando 
apropriado, um consumidor potencial. Além disso, o responsável 
pelo tratamento declarou que quando o titular dos dados solicitou 
um cartão de crédito,
Em resposta ao pedido inicial de apagamento do titular dos dados, o 
responsável pelo tratamento dos dados declarou, em conformidade 
com a disposição 11.6 do Código de Defesa do Consumidor de 2012 e 
a sua Política de Privacidade e Declaração de Cookies, que tinha a 
obrigação legal de reter as informações fornecidas. O responsável 
pelo tratamento explicou ainda que os dados pessoais fornecidos na 
aplicação seriam conservados por um período de seis anos a partir da 
data em que o serviço fosse prestado.
Como parte da sua análise, a DPC contactou o responsável pelo tratamento 
dos dados e solicitou uma resposta à reclamação. O responsável pelo 
tratamento afirmou que se baseava no artigo 6.º, n.º 1, alínea c), do RGPD 
para conservar os dados pessoais, sendo o tratamento necessário para o 
cumprimento de uma obrigação legal a que o responsável pelo tratamento 
está sujeito. O responsável pelo tratamento, neste caso, também estava 
sujeito ao Código de Defesa do Consumidor de 2012 (CPC). Nesta base, o 
responsável pelo tratamento baseou-se nesta base legal para recusar o 
pedido de apagamento. Nos termos do artigo 17.º, n.º 3, alínea b), do 
RGPD, o direito do titular dos dados ao apagamento não se aplica e pode 
ser restringido quando o tratamento for necessário para o cumprimento de 
uma obrigação legal.
Nos termos da secção 109(5)(c) da Lei de 2018, a DPC informou o 
titular dos dados que, na aceção do CPC, foi classificado como 
potencial consumidor. Como resultado, o responsável pelo 
tratamento é legalmente obrigado a conservar os dados pessoais 
por um período de seis anos. A DPC não considerou necessária 
qualquer acção adicional no momento da publicação do resultado.
APAGAR 79
ESTUDO DE CASO 97
Envolvimento do cobrador de dívidas
Um titular de dados contactou a DPC por não estar 
satisfeito com as respostas a um pedido de acesso e 
apagamento do titular dos dados. Este caso foi contra um 
cobrador de dívidas e o titular dos dados levantou 
preocupações sobre a forma como os seus dados pessoais 
foram obtidos. O titular dos dados explicou que a dívida 
tinha sido liquidada, mas ainda assim recebeu uma carta 
de um cobrador de dívidas. Esta carta referia-se a um valor 
pendente devido a um terceiro.
O processador de dados, neste caso, aceitou que o titular dos dados 
pode ter pago a dívida pendente, mas declarou que não poderia ser 
responsabilizado se o titular dos dados pagar diretamente ao 
controlador de dados e o controlador de dados não notificar o 
processador de dados para liquidar a dívida pendente em seus 
sistemas. A DPC destacou que parecia haver um erro na carta recebida 
pelo titular dos dados. Nesta correspondência, o cobrador de dívidas 
referiu-se a si próprio como responsável pelo tratamento dos dados. O 
cobrador de dívidas aceitou esse erro e afirmou que deveria ter lido o 
processador de dados, esse erro foi causado por um descuido na 
utilização de um modelo de carta.
O titular dos dados esclareceu à DPC que o seu pedido de acesso ao titular 
foi efetuado através de uma plataforma online. O titular dos dados não 
recebeu resposta ao seu pedido de acesso ao abrigo do artigo 15.º ou ao 
seu pedido de apagamento nos termos do artigo 17.º do Regulamento Geral 
de Proteção de Dados (RGPD). Antes do envolvimento da DPC, ambas as 
partes envolveram-se directamente.
Na sua correspondência com o titular dos dados, o cobrador 
explicou que os dados pessoais foram obtidos de terceiros. 
Os dados pessoais foram então carregados no seu sistema 
online e foi emitida uma carta ao titular dos dados.
No que diz respeito ao pedido de acesso do titular dos dados, devido à sua 
relação com o processador de dados, não responderam diretamente ao 
pedido de acesso do titular dos dados, mas partilharam-no com o terceiro, o 
responsável pelo tratamento dos dados. No que diz respeito ao pedido de 
apagamento, o processador de dados informou ao titular dos dados que 
seria obrigado a conservar os dados pessoais durante seis meses para 
efeitos fiscais/financeiros/de auditoria. Tinham decorrido seis meses antes 
do envolvimento da DPC e o processador de dados assegurou à DPC que os 
dados pessoais tinham sido apagados. O processador de dados pediu 
desculpas diretamente ao titular dos dados e ofereceu um pagamento como 
um gesto de boa vontade.
Como parte da sua análise, a DPC contactou o cobrador de dívidas e solicitou que delineasse a sua 
relação com este terceiro. O cobrador de dívidas informou à DPC que estava agindo como 
processador de dados em nome do terceiro e que um acordo de processador de dados, em 
conformidade com o artigo 28.º, n.º 3, do RGPD, estava em vigor no momento em que processava 
estes dados pessoais. O cobrador de dívidas informou à DPC que este contrato estava rescindido e 
que eles não agiriam em nome do terceiro daqui para frente. A DPC aceitou esta resposta e 
identificou o cobrador de dívidas como processador de dados e o terceiro como controlador de 
dados. O processador de dados, declararam que a cobrança de dívidas é do interesse público e, 
como tal, tinham um interesse legítimo em processar dados pessoais quando a conta do titular dos 
dados lhes fosse legalmente atribuída ou quando estivessem a agir ao abrigo de um contrato legal. 
O responsável pelo tratamento afirmou que o tratamento dos dados pessoais do titular dos dados 
foi necessário para a cobrança da dívida e é permitido mesmo que o titular dos dados não consinta 
com o tratamento; o que significa que o processador de dados se baseou nos artigos 6(1)(b) e 6(1)(f) 
do GDPR para processar os dados pessoais. O responsável pelo tratamento afirmou que o 
tratamento dos dados pessoais do titular dos dados foi necessário para a cobrança da dívida e é 
permitido mesmo que o titular dos dados não consinta com o tratamento; o que significa que o 
processador de dados se baseou nos artigos 6(1)(b) e 6(1)(f) do GDPR para processar os dados 
pessoais. O responsável pelo tratamento afirmou que o tratamento dos dados pessoais do titular 
dos dados foi necessário para a cobrança da dívida e é permitido mesmo que o titular dos dados 
não consinta com o tratamento; o que significa que o processador de dados se baseou nos artigos 
6(1)(b) e 6(1)(f) do GDPR para processar os dados pessoais.
A DPC informou ao titular dos dados, de acordo com a seção 
109 (5) (c) da Lei de 2018, que o processador e controlador de 
dados tinha um interesse legítimo em cobrar dívidas e 
divulgar dados pessoais para cobrar as dívidas. A DPC 
reconheceu os erros na correspondência fornecida ao titular 
dos dados e, nos termos da secção 109(5)(f) da Lei de 2018, 
recomendou que o processador de dados realizasse testesregulares de processos organizacionais e técnicos para 
garantir a conformidade com o GDPR, a fim de cumprir o 
Artigo 28 do GDPR.
80 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 98
Retenção de dados por um banco relativos a 
um pedido de empréstimo retirado
Neste caso, o queixoso apresentou um pedido de 
empréstimo a um banco. Posteriormente, o 
queixoso retirou o pedido de empréstimo e 
escreveu ao banco informando que estava a retirar 
o consentimento para o tratamento de quaisquer 
dados pessoais detidos pelo banco relacionados 
com o pedido de empréstimo e solicitando a 
devolução de todos os documentos que continham 
os dados pessoais do queixoso. Em resposta, o 
banco informou o reclamante de que tinha parado 
de processar todos os dados pessoais do 
reclamante, com exceção dos dados contidos em 
registos que o banco declarou ser obrigado a reter e 
processar ao abrigo do Código de Proteção do 
Consumidor do Banco Central da Irlanda. O 
queixoso não ficou satisfeito com esta resposta e 
argumentou, na sua queixa a este Gabinete,
O queixoso argumentou também que o tratamento 
continuado dos seus dados pessoais pelo banco se 
destinava a uma finalidade que não era compatível com a 
finalidade para a qual os dados foram originalmente 
obtidos, em violação da legislação de protecção de 
dados.
o banco armazena, utiliza e processa os seus dados 
pessoais para diversos fins, incluindo para processar 
pedidos de crédito ou serviços financeiros. No entanto, 
este gabinete observou que as finalidades para as quais o 
reclamante deu o seu consentimento não incluíam o 
tratamento para efeitos de cumprimento das obrigações 
legais do banco em geral e, especificamente, não incluíam 
o tratamento dos dados pessoais do reclamante para 
efeitos de cumprimento de o Código de Defesa do 
Consumidor. Assim, este gabinete considerou que, no 
momento da recolha dos dados pessoais do reclamante, o 
banco não alegava basear-se no consentimento como 
base legal para a recolha e tratamento dos dados pessoais 
do reclamante, a fim de cumprir as suas obrigações legais. 
Em vez de,
Este gabinete observou que, quando um pedido de empréstimo 
for subsequentemente retirado ou não for bem sucedido e o 
banco não celebrar um contrato com o requerente, a retenção de 
dados pessoais relativos ao pedido de empréstimo já não pode 
basear-se no facto de o tratamento ser necessário para tomar 
medidas a pedido do titular dos dados antes de celebrar um 
contrato, uma vez que já não existe a possibilidade de celebrar um 
contrato com o titular dos dados. Como tal, o banco identificou 
uma base jurídica distinta para a conservação dos dados pessoais 
do reclamante relativos ao pedido de empréstimo, 
nomeadamente que esse tratamento era necessário para o 
cumprimento de uma obrigação legal a que o banco estava 
sujeito.
Este gabinete estabeleceu que o banco foi identificado como o 
responsável pelo tratamento de dados relevante em relação à 
reclamação, uma vez que controlava os dados pessoais que o 
reclamante tinha fornecido ao banco ao fazer um pedido de 
empréstimo. Os dados em questão eram dados pessoais relativos ao 
reclamante (consistindo, entre outras coisas, num formulário de 
pedido de empréstimo preenchido e documentação comprovativa), 
uma vez que o reclamante poderia ser identificado a partir dele e os 
dados relativos ao reclamante como indivíduo. Este escritório ficou, 
portanto, convencido de que a queixa deveria ser investigada para 
determinar se havia ocorrido uma violação da legislação de proteção 
de dados.
Este escritório observou que o Código de Defesa do Consumidor 
obrigava as entidades regulamentadas a reter detalhes de “transações 
individuais” por seis anos após a data em que a transação específica for 
descontinuada ou concluída. Este Gabinete considerou, no entanto, 
que um pedido de empréstimo posteriormente retirado ou finalmente 
infrutífero não constitui uma «transacção» para efeitos do Código de 
Defesa do Consumidor. Este gabinete referiu então que o Código de 
Defesa do Consumidor também obrigava as entidades reguladas a 
conservar “todos os outros registos” durante seis anos a contar da data 
em que a entidade regulada deixou de fornecer qualquer produto ou 
serviço ao consumidor, incluindo potencial consumidor, em causa. No 
entanto, este escritório também não considerou que os registros 
relativos a um pedido de empréstimo que é posteriormente retirado se 
enquadrassem no escopo desta exigência do Código de Defesa do 
Consumidor. De acordo,
Durante a investigação desta reclamação, este gabinete analisou o 
formulário de pedido de empréstimo do banco, que previa que, ao 
assinar o formulário, a pessoa consentisse em
APAGAR 81
este gabinete considerou que não era necessário que o banco 
conservasse os dados pessoais relativos ao pedido de 
empréstimo retirado do reclamante para efeitos de cumprimento 
das suas obrigações legais ao abrigo do Código de Defesa do 
Consumidor, e considerou que o banco não tinha identificado 
uma base legal nos dados legislação de proteção para a retenção 
dos dados pessoais do reclamante relativos ao seu pedido de 
empréstimo.
para uma ou mais finalidades específicas, que o tratamento é 
necessário para a execução de um contrato no qual o titular dos dados 
é parte ou para tomar medidas a pedido do titular dos dados antes de 
celebrar um contrato, e que o tratamento seja necessário para o 
cumprimento de uma obrigação legal a que o responsável pelo 
tratamento esteja sujeito. Os responsáveis pelo tratamento dos dados 
devem também ter em atenção que o tratamento de dados pessoais 
para fins diferentes daqueles para os quais os dados pessoais foram 
originalmente recolhidos só é permitido quando o tratamento for 
compatível com os fins para os quais os dados foram inicialmente 
recolhidos.
Nos termos do artigo 6.º do RGPD, os responsáveis pelo tratamento de dados 
devem ter uma base legal para qualquer tratamento de dados pessoais. As 
bases lícitas disponíveis incluem que o titular dos dados tenha dado 
consentimento para o tratamento dos seus dados pessoais
ESTUDO DE CASO 99
Processamento ilegal e pedido de eliminação
Após a sua deslocação a um local de lazer (o responsável pelo 
tratamento dos dados), um titular dos dados apresentou uma 
reclamação à Comissão de Proteção de Dados (DPC), por estar 
insatisfeito com a forma como o responsável pelo tratamento 
dos dados tratou os seus dados pessoais. O titular dos dados 
também pretendia exercer os seus direitos ao abrigo do artigo 
17.º do Regulamento Geral de Proteção de Dados (RGPD) e ver 
os seus dados e os dos seus familiares eliminados pela 
organização. Antes de contactar a DPC, o titular dos dados 
solicitou o apagamento dos seus dados diretamente ao 
responsável pelo tratamento e este pedido foi recusado.
Após a reclamação do titular dos dados, o responsável pelo tratamento dos 
dados reviu as suas políticas e identificou uma lacuna na formação do seu 
pessoal. Após esta identificação, o responsável pelo tratamento informou o 
seu pessoal para garantir que estava ciente de que os clientes não eram 
obrigados a fornecer detalhes da sua reserva ao aceder a determinadas 
instalações. O responsável pelo tratamento também informou que atualizou 
o Procedimento Operacional do Departamento de Regulação da Proteção de 
Dados para refletir este procedimento de forma mais clara.
No que diz respeito ao pedido de apagamento do titular dos dados, o 
responsável pelo tratamento informou a DPC que removeu o titular dos 
dados para todas as comunicações de marketing direto. No entanto, não 
conseguiram apagar quaisquer outros dados pessoais relativos ao titular 
dos dados e à sua família, uma vez que são conservados de acordo com a 
sua política de retenção. A política de retenção do responsável pelo 
tratamento de dados estabelece que todos os dados pessoais são 
mantidos em arquivo, pois podem ser necessários nadefesa de uma ação 
judicial e somente excluídos após o membro mais jovem da reserva atingir 
a idade de 21 anos, de acordo com os prazos de prescrição legais.
O titular dos dados explicou à DPC que, durante a sua estadia no 
centro de lazer, considerou que os seus dados pessoais foram 
tratados ilicitamente, uma vez que foi repetidamente solicitado a 
fornecer detalhes da sua reserva ao pessoal, a fim de ter acesso 
às instalações no local, como restaurantes e atividades. O titular 
dos dados considerou que se tratava de um tratamento 
excessivo e declarou na altura que não tinha a opção de se opor 
a esse tratamento ou não poderia receber acesso total às 
instalações.
Nos termos da secção 109(5)(f) da Lei de 2018, a DPC recomendou que o 
responsável pelo tratamento de dados continuasse a ministrar formação a 
todos os seus funcionários sobre as suas obrigações e os direitos dos 
titulares dos dados ao abrigo da legislação de protecção de dados e que 
mantivesse esta formação actualizada.
Em consonância com a análise da reclamação, a DPC contactou o 
responsável pelo tratamento dos dados e partilhou os detalhes da 
reclamação do titular dos dados. O responsável pelo tratamento 
informou à DPC que a sua base legal para o tratamento de dados 
pessoais é o artigo 6.º, n.º 1, alínea f), do Regulamento Geral de 
Proteção de Dados (RGPD), também vulgarmente referido como 
interesse legítimo. O responsável pelo tratamento explicou ainda que 
solicita os dados do cliente antes de aceder às instalações ou fazer uma 
compra, a fim de “compreender padrões e melhorar a gama de 
serviços e instalações disponíveis para os hóspedes”. Isso também está 
detalhado em sua política de privacidade, disponível em seu site.
A DPC recomendou ainda, nos termos da seção 109(5)(f) da Lei 
de 2018, que o controlador de dados exclua todos os dados 
pessoais de acordo com seu período de retenção.
A DPC não considerou necessária qualquer ação adicional no momento da 
publicação do resultado, uma vez que observou que o responsável pelo 
tratamento dos dados tinha requalificado todo o pessoal, pediu desculpa 
ao titular dos dados e ofereceu-lhe uma indemnização em resultado da 
sua reclamação.
82 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 100
Processamento ilegal de fotografia
e solicitação de exclusão nos termos do Artigo 17 do GDPR (Lei 
Aplicável - GDPR e Lei de Proteção de Dados de 2018)
Um titular de dados apresentou uma reclamação à Comissão 
de Proteção de Dados (DPC) relativamente à publicação da 
sua imagem histórica num jornal (responsável pelo 
tratamento dos dados). O titular dos dados explicou à DPC 
que o artigo foi publicado sem o seu conhecimento e sem o 
seu consentimento. Antes de contactar a DPC, o titular dos 
dados contactou o responsável pelo tratamento dos dados 
para responder às suas preocupações de que considerava 
que os seus dados pessoais tinham sido tratados ilegalmente 
e para solicitar o apagamento da imagem do jornal nos 
termos do artigo 17.º do Regulamento Geral de Proteção de 
Dados (RGPD); no entanto, o responsável pelo tratamento 
rejeitou todos os elementos do pedido do titular dos dados.
Em relação ao pedido de apagamento do titular dos dados, o 
responsável pelo tratamento baseou-se na Secção 43 da Lei de 2018 
como base para recusar o apagamento da imagem do artigo.
Tendo considerado todos os elementos desta reclamação, a DPC 
concluiu que o jornal tinha uma base legal, ao abrigo da Secção 
43 da Lei de 2018 e do Artigo 85 do RGPD, para publicar a 
imagem histórica do titular dos dados num artigo noticioso.
A DPC observa que a isenção jornalística não isenta o 
controlador de dados de todo o GDPR e das leis de proteção 
de dados. Um controlador de dados deve levar em 
consideração suas obrigações restantes sob o GDPR e a Lei 
de 2018. A DPC considerou proporcionado o tratamento dos 
dados pessoais do titular dos dados pelo responsável pelo 
tratamento, considerando que a imagem em questão é uma 
imagem histórica na qual se pode razoavelmente presumir 
que o titular dos dados já não é facilmente identificável a 
partir da mesma. A DPC reconhece que um terceiro é a 
principal pessoa de interesse e diretamente citado no artigo 
e, portanto, o titular dos dados não é objeto de discussão.
Como parte da sua análise, a DPC contactou o 
responsável pelo tratamento dos dados e solicitou uma 
base legal nos termos do artigo 6.º do RGPD para o 
tratamento dos dados pessoais do titular dos dados da 
forma descrita nesta reclamação. O controlador de dados 
informou ao DPC que não se baseia no Artigo 6 do GDPR 
para processar os dados pessoais do titular dos dados e 
informou que se baseia na seção 43 da Lei de Proteção de 
Dados de 2018, (a Lei de 2018), (processamento de dados 
e liberdade de expressão e informação), nomeadamente 
que fica isento o tratamento de dados pessoais para 
efeitos do exercício do direito à liberdade de expressão e 
informação, incluindo o tratamento para fins jornalísticos 
para fins de expressão académica, artística ou literária.
A DPC informou o titular dos dados ao abrigo da secção 109(5) (c) da 
Lei de 2018 que a explicação apresentada pelo responsável pelo 
tratamento dos dados relativamente ao tratamento dos seus dados 
pessoais nas circunstâncias desta reclamação era razoável.
APAGAR 83
ESTUDO DE CASO 101
Decisão do Artigo 60 relativa à Empresa Internacional do Twitter 
– Solicitação de ID, Solicitação de Apagamento
Uma reclamação foi apresentada diretamente à DPC em 2 
de julho de 2019 contra a Twitter International Company 
(“Twitter”) e, consequentemente, foi tratada pela DPC na 
sua função de autoridade supervisora principal. O 
queixoso alegou que, após a suspensão da sua conta no 
Twitter, o Twitter não cumpriu, dentro do prazo legal, um 
pedido de apagamento que lhe tinha apresentado. Além 
disso, o reclamante alegou que o Twitter havia solicitado 
uma cópia do seu documento de identidade fotográfico, a 
fim de atender ao seu pedido de apagamento, sem base 
legal para fazê-lo. Por último, o queixoso alegou que o 
Twitter reteve os seus dados pessoais na sequência do seu 
pedido de apagamento, sem base jurídica para o fazer.
não verificar a identidade do titular da conta. O Twitter afirmou 
que está ciente do fato de que contas de e-mail podem ser 
hackeadas e outras partes interessadas podem tentar apagar uma 
conta, especialmente em uma situação como esta, onde a conta 
foi suspensa devido a inúmeras supostas violações da Política de 
Conduta de Ódio do Twitter. A empresa indicou que retém 
informações básicas dos assinantes indefinidamente, de acordo 
com seu interesse legítimo em manter a segurança de sua 
plataforma e de seus usuários.
O Twitter argumentou ainda que, como não recolheu realmente 
qualquer identificação do reclamante, o artigo 5.º, n.º 1, alínea c), 
não foi aplicado. Não obstante, afirmou que o pedido de 
identificação com fotografia era proporcional e necessário neste 
caso. Indicou que é necessário um nível mais elevado de 
autenticação em circunstâncias em que uma pessoa não tenha 
sessão iniciada na sua conta, como será sempre o caso quando a 
conta de uma pessoa tiver sido suspensa.A conta do Twitter do reclamante foi suspensa porque o Twitter 
considerou que o reclamante violou sua Política de Conduta de 
Ódio. Depois que o Twitter suspendeu a conta, o reclamante 
solicitou que todos os seus dados pessoais, como endereço de e-
mail e número de telefone, fossem excluídos. Eles enviaram 
diversas solicitações ao Twitter solicitando que seus dados 
fossem apagados. O Twitter pediu ao reclamante que 
apresentasse uma cópia do seu documento de identidade para 
verificar se era, de fato, o titular da conta. O queixoso recusou-se 
a fazê-lo. Nas instalações, o Twitter acabou por cumprir o pedido 
de apagamento sem a identificação fotográfica do denunciante.
Tendo em conta o pedido de apagamento do reclamante 
e a obrigação associada de que qualquer pedido dessetipo seja processado sem “atraso injustificado”, o Twitter 
estabeleceu um cronograma de correspondência 
referente ao pedido de apagamento entre ele e o 
reclamante. O Twitter afirmou que o reclamante fez 
solicitações duplicadas e, como tal, atrasou o próprio 
processo de exclusão/apagamento. No que diz respeito à 
retenção de dados, o Twitter informou à DPC que reteve o 
número de telefone e o endereço de e-mail do reclamante 
após a conclusão do seu pedido de acesso. Afirmou que 
retém estas informações limitadas para além da 
desativação da conta indefinidamente, de acordo com os 
seus interesses legítimos para manter a segurança da sua 
plataforma e dos utilizadores. Afirmou que se eliminasse o 
endereço de e-mail ou o número de telefone do 
reclamante dos seus sistemas,
A DPC tentou inicialmente resolver esta reclamação de forma amigável 
através do seu processo de tratamento de reclamações. No entanto, 
esses esforços não conseguiram garantir uma resolução amigável e o 
caso foi aberto para investigação adicional. As questões a serem 
examinadas e determinadas pelo inquérito do DPC foram as seguintes: 
(i) se o Twitter tinha uma base legal para solicitar identificação 
fotográfica quando um pedido de apagamento foi apresentado nos 
termos do Artigo 17 do RGPD, (ii) se o tratamento do referido 
apagamento pelo Twitter a solicitação estava em conformidade com o 
GDPR e a Lei de Proteção de Dados de 2018 e (iii) se o Twitter cumpriu 
os requisitos de transparência do Artigo 12 do GDPR.
Após a conclusão do seu inquérito em 27 de abril de 2022, a DPC 
adotou a sua decisão em relação a esta reclamação, em conformidade 
com o artigo 60.º, n.º 7, do RGPD. Na sua decisão, a DPC concluiu que 
o responsável pelo tratamento dos dados, Twitter International 
Company, violou o Regulamento Geral de Proteção de Dados da 
seguinte forma:
Em defesa de sua posição, o Twitter afirmou que autenticar que 
o solicitante é quem diz ser é de suma importância nos casos em 
que uma parte solicita o apagamento de sua conta. Afirma que 
os identificadores únicos fornecidos no momento do registo de 
uma conta (ou seja, endereço de e-mail e número de telefone) 
simplesmente associam um utilizador a uma conta, mas estes 
identificadores não
• Artigo 5(1)(c): A exigência do Twitter de que o reclamante 
verificasse sua identidade mediante o envio de uma cópia de seu 
documento de identificação com fotografia constituía uma infração.
84 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
aplicação do princípio da minimização de dados, nos termos do artigo 
5.º, n.º 1, alínea c), do RGPD;
• Artigo 6.º, n.º 1: o Twitter não identificou uma base legal válida nos termos do 
artigo 6.º, n.º 1, do RGPD para solicitar uma cópia do documento de 
identificação com fotografia do reclamante, a fim de processar o seu pedido 
de apagamento;
• Artigo 17.º, n.º 1: O Twitter violou o artigo 17.º, n.º 1, do RGPD, uma 
vez que houve um atraso indevido no tratamento do pedido de 
apagamento do reclamante; e
• Artigo 12.º, n.º 3: O Twitter violou o artigo 12.º, n.º 3, do RGPD ao não 
informar o titular dos dados, no prazo de um mês, sobre as medidas 
tomadas relativamente ao seu pedido de apagamento, nos termos do 
artigo 17.º do RGPD.
A DPC também concluiu na sua decisão que o Twitter tinha uma base 
jurídica válida, em conformidade com o artigo 6.º, n.º 1, alínea f), para a 
retenção do endereço de correio eletrónico e do número de telefone do 
reclamante que estavam associados à conta. Constatou também que, sem 
prejuízo da conclusão acima relativa ao princípio da minimização dos 
dados no que diz respeito à identificação com fotografia, o Twitter cumpria 
o princípio da minimização dos dados, uma vez que o tratamento dos 
dados do endereço de correio eletrónico e do número de telefone se 
limitava ao necessário em relação à as finalidades para as quais são 
processados.
À luz da extensão das infrações, a DPC emitiu uma repreensão à 
Twitter International Company, nos termos do artigo 58.º, n.º 2, 
alínea b), do RGPD. Além disso, a DPC ordenou que a Twitter 
International Company, nos termos do Artigo 58(2) (d), revisse suas 
políticas e procedimentos internos para lidar com solicitações de 
apagamento para garantir que os titulares dos dados não sejam mais 
obrigados a fornecer uma cópia do documento de identificação com 
fotografia ao fazer o apagamento de dados. solicitações, a menos 
que possa demonstrar uma base legal para fazê-lo. A DPC ordenou 
que a Twitter International Company fornecesse detalhes de suas 
políticas e procedimentos internos revisados à DPC até 30 de junho 
de 2022. O Twitter cumpriu esta ordem no prazo estabelecido.
APAGAR 85
Aplicação da lei
Diretiva (LED)
ESTUDO DE CASO 102
Restrições de dados — dados de terceiros; parecer emitido 
confidencialmente (Diretiva relativa à aplicação da lei)
A Comissão de Proteção de Dados (DPC) examinou um caso em que foram impostas restrições de acesso pela 
An Garda Síochána com base nas Seções 91 (7) e (8) da Lei de Proteção de Dados de 2018.
O assunto dizia respeito a um indivíduo que procurava cópias de alegações de abuso feitas contra ele no que diz respeito ao bem - estar 
dos seus pais . Tendo examinado esta questão, ficou claro para a DPC que a divulgação da informação implicaria a divulgação de dados 
de terceiros e revelaria a identidade da pessoa que fez as alegações. A DPC ficou convencida na revisão de que as informações 
solicitadas foram fornecidas com a mais estrita confidencialidade e considerou as disposições da Seção 91(9)(a)
também aplicado.
ESTUDO DE CASO 103
Restrições de dados — ausência de consentimento de todas as 
partes (Diretiva de aplicação da lei)
Num caso examinado pela DPC, um progenitor solicitou à An Garda Síochána cópias dos dados pessoais dos seus 
filhos pequenos.
A Garda Síochána recusou-se a fornecer os dados. A DPC informou ao progenitor que concordava com a restrição imposta, uma vez 
que o responsável pelo tratamento neste caso tinha conhecimento particular de todas as circunstâncias relativas a um acordo de 
tutela partilhada em vigor e considerou que seria necessário o consentimento de todos os tutores legais para libertar os dados neste 
caso.
86 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 104
Limitação da finalidade — Diretiva relativa à aplicação da lei
A DPC examinou uma queixa em que um indivíduo alegava que os dados recolhidos num contexto específico de 
aplicação da lei estavam a ser utilizados pelo mesmo responsável pelo tratamento de dados para outros fins de 
aplicação da lei. A queixa dizia respeito ao processo contra um indivíduo por crimes na área de remédios para equinos e 
animais pelo Departamento de Agricultura, Alimentação e Marinha (DAFM) e o encaminhamento separado pelo DAFM de 
alegações de má conduta profissional ao Conselho Veterinário da Irlanda (VCI) em relação à mesma pessoa.
Depois de examinar as questões levantadas, a DPC remeteu o reclamante para a Secção 71(5) da Lei de Protecção de Dados de 2018:
Quando um controlador coleta dados pessoais para uma finalidade especificada na seção 70 (1) (a), o controlador ou outro controlador 
pode processar os dados para uma finalidade especificada diferente daquela para a qual os dados foram coletados, na medida em que
— (a) o responsável pelo tratamento está autorizado a processar esses dados pessoais para esse fim, de acordo com a lei da União 
Europeia ou a lei do Estado, e (b) o processamento é necessário e proporcional à finalidade para a qual os dados são sendo 
processado .
No que diz respeito à secção 70(1)(a) e à “lei do Estado”, a DPC observou as disposições estabelecidas na Lei de Prática Veterinária de 
2005 relativamente à condução de inquéritos pela VCI sobre alegações de má conduta profissional. Em particular, a secção 76 da Lei da 
Prática Veterinária de 2005 descreve que a VCI ou qualquer pessoa pode solicitar um inquérito relativamente à aptidão paraexercer a 
medicina veterinária de uma pessoa registada. Nesta base, a DPC não considerou que a legislação de protecção de dados proibisse o 
encaminhamento separado pela DAFM de alegações de má conduta profissional à VCI em relação a uma pessoa, em conjunto com 
processos judiciais da DAFM contra o mesmo indivíduo por crimes nos equídeos e área de remédios para animais.
ESTUDO DE CASO 105
Restrições de dados — processos pendentes 
(Diretiva de aplicação da lei)
A DPC examina frequentemente queixas relacionadas com restrições impostas pela An Garda Síochána e pelo 
Diretor do Ministério Público (DPP) devido a processos penais pendentes. As reclamações vão desde casos de 
agressão em que se procura documentação como registos PULSE, fotografias e relatórios da An Garda Síochána 
sobre os incidentes, até pedidos de imagens CCTV das próprias estações da An Garda Síochána.
Em alguns casos, a An Garda Síochána pode fornecer a um indivíduo uma cópia da sua declaração fornecida pelos indivíduos, mas 
reterá outros dados com base na Secção 94(3)(a) da Lei, segundo a qual um responsável pelo tratamento de dados pode restringir o 
acesso, totalmente ou parcialmente, para efeitos de “prevenção, detecção ou investigação de crimes, apreensão ou acusação de 
infratores ou a eficácia de métodos, sistemas, planos ou procedimentos legais empregados para os fins dos assuntos acima 
mencionados”.
Após a confirmação por um responsável pelo tratamento de dados de que estão pendentes processos criminais, o DPC informará um indivíduo que, uma vez 
concluídas as questões jurídicas relacionadas com esses casos, os indivíduos poderão solicitar novamente uma cópia dos seus dados, conforme estabelecido na 
Secção 91 do Lei de Proteção de Dados de 2018.
ESTUDO DE CASO 1 0 2 87
ESTUDO DE CASO 106
Restrições de acesso (Diretiva de aplicação da lei)
A DPC recebeu denúncia de um indivíduo que alegou ter 
sido vítima de um crime. O indivíduo solicitou que os 
seus dados pessoais sensíveis fossem tratados pela An 
Garda Síochána (AGS) de acordo com os seus termos 
específicos, nomeadamente, solicitou que lhes fosse 
disponibilizada uma cópia completa dos resultados 
médicos dos exames forenses realizados pela Forensic 
Science Ireland (FSI). imediatamente após o recebimento 
dos resultados pela AGS. O indivíduo então solicitou a 
divisão do kit de amostras, sendo esta solicitação 
posteriormente alterada para solicitar a análise de 
frascos de amostras específicas.
Um relatório emitido pela Forensic Science Ireland para a AGS é 
regido pelas disposições da Secção 94 da Lei, que estabelece 
restrições ao acesso que podem ser impostas por um responsável 
pelo tratamento de dados, incluindo uma restrição para evitar 
prejudicar uma investigação. Depois de examinar as questões 
levantadas, a DPC informou ao indivíduo que a Diretiva de Aplicação 
da Lei (UE) 2016/680, conforme transposta nas Partes 5 e 6 da Lei, não 
prevê que os indivíduos estipulem as condições sob as quais os 
titulares dos dados consentem em ter seus dados pessoais dados 
processados por uma autoridade responsável pela aplicação da lei.
Em relação ao processamento de amostras forenses num contexto de 
aplicação da lei, a DPC considerou que o processamento de dados 
sensíveis estava em conformidade com as secções 71 e 73(1)(b)(i) da 
Lei. A DPC observou que o formulário “Consentimento para Liberação 
de Perícia Forense Armazenada e Relatório Legal à Custódia de An 
Garda Síochána” especificava todos os destinatários pretendidos dos 
dados, bem como o fato de que as conclusões dos testes laboratoriais 
e do relatório legal poderiam também serão entregues aos tribunais 
para uso como prova. A DPC recomendou a adição de um Aviso de 
Proteção de Dados ao formulário, para permitir aos titulares dos dados 
obter informação detalhada sobre o quadro legislativo e os 
procedimentos que regem as condições de tratamento relativamente a 
amostras forenses e investigações AGS.
A DPC referiu que todo o processo de pedido de análise de 
amostras forenses, na sequência do alegado crime, foi iniciado 
pelo próprio titular dos dados. Para prosseguir com os testes 
forenses, o indivíduo foi obrigado a preencher um formulário 
intitulado 'Consentimento para Liberação de Perícias 
Armazenadas e um Relatório Legal à Custódia de An Garda 
Síochána'. A DPC determinou que quaisquer dados pessoais 
tratados pela AGS no contexto descrito seriam abrangidos pela 
Diretiva de Aplicação da Lei (UE) 2016/680, conforme transposta 
na Lei de Proteção de Dados.
A AGS informou a DPC que, nos casos em que um indivíduo 
submeta os seus dados pessoais à AGS e à FSI para testes 
adicionais, qualquer processamento adicional relacionado pela 
AGS e pela FSI será realizado para fins de prevenção, 
investigação, detecção ou repressão de infracções penais, ou a 
execução de sanções penais.
88 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 107
Diretiva de aplicação da lei (LED)
A Comissão do Provedor de Justiça Garda Síochána 
(GSOC) enviou uma carta contendo o resultado da sua 
investigação sobre uma queixa para um endereço 
onde a pessoa que fez a queixa já não residia. A DPC 
constatou que a carta foi enviada para o endereço 
onde o indivíduo residia no momento da reclamação 
anterior que havia feito ao GSOC. O indivíduo em 
questão informou posteriormente ao GSOC que já não 
residia naquele endereço e que, relativamente à nova 
reclamação, só podia ser contactado por correio 
eletrónico.
A DPC colaborou extensivamente com o GSOC relativamente a esta 
queixa. O GSOC comunicou a violação de dados à DPC através dos 
canais normais de comunicação de violação. Para evitar que este tipo 
de incidente se repita, o GSOC informou a DPC que foi enviado um e-
mail internamente a todos os colaboradores alertando para a 
importância de garantir a veracidade dos dados pessoais inseridos no 
Sistema de Gestão de Casos (CMS). O GSOC também destacou que 
enviou um e-mail separado a todos os gestores de linha na seção de 
Casos do GSOC, alertando-os sobre a necessidade de inserir dados 
pessoais com precisão no CMS e de alterar essas informações sempre 
que informações atualizadas forem recebidas.
ESTUDO DE CASO 1 0 2 89
Objeção
para processamento
ESTUDO DE CASO 108
Uso de dados de localização para verificar declarações de despesas
O queixoso neste estudo de caso era um antigo funcionário 
de um prestador de serviços estatutário, cujo trabalho 
envolvia conduzir até locais atribuídos pela sua entidade 
patronal. Quando isto originasse pedidos de horas 
extraordinárias ou de subsistência, o reclamante 
preencheria formulários fornecidos pelo empregador, 
detalhando itens como datas e locais relevantes, números 
de referência de expedição e os montantes reclamados. A 
entidade patronal utilizou um sistema de despacho 
destinado a garantir a utilização mais eficiente dos 
condutores e dos veículos, nomeadamente na resposta em 
situações de emergência. Esse sistema registrava o 
desempenho e a conclusão das chamadas de serviço, 
quando os veículos estavam em serviço ou de volta à base e 
quando os motoristas estavam de serviço ou fora de serviço.
finalidade, se esse tratamento era compatível com a finalidade 
para a qual os dados foram recolhidos e se o empregador 
tinha uma base legal para esse tratamento.
O empregador não tinha uma política escrita sobre a utilização do 
sistema de despacho. Em vez disso, baseou-se na “consciência 
geral” dos funcionários de que o sistema era utilizado para esse 
fim. O empregador salientou que tal utilização tinha sido 
constatada num acordo com os sindicatos dos seus trabalhadores, 
alguns anos antes. A DPC observou que os pedidos de horas 
extras e ajudas de custo exigiam que os funcionários incluíssem 
números de referência de despacho relevantes do sistema de 
despacho. A DPC considerou que a inclusão de números de 
referência relevantes do sistema de despacho nos pedidos de 
horas extraordinárias e de subsistênciaindicava que os 
trabalhadores estavam cientes de que os dados eram utilizados 
não apenas para processamento logístico, mas também para 
verificar os seus pedidos. Mesmo que o objetivo principal do 
sistema de despacho fosse auxiliar a logística, a sua utilização 
para verificar reclamações de horas extras não era incompatível 
com esse propósito,
O queixoso apresentou um pedido de horas extraordinárias e de 
subsistência. O empregador rejeitou esta proposta devido a 
inconsistências entre os dados constantes do formulário de 
reclamação do reclamante e os registados no sistema de despacho do 
empregador. O queixoso opôs-se à utilização dos dados do sistema de 
despacho para este efeito e apresentou queixa à Comissão de 
Protecção de Dados (DPC).
A DPC observou que os regulamentos financeiros aplicáveis exigiam que o 
empregador verificasse as horas extraordinárias e os pedidos de 
subsistência. O tratamento para verificação dos pedidos de horas 
extraordinárias e de ajudas de custo foi necessário não apenas para 
cumprir essa obrigação legal, mas para cumprir o contrato de trabalho do 
reclamante e por razões de interesses legítimos dos empregadores.A DPC considerou se a utilização de dados do sistema de despacho 
para verificar horas extraordinárias e pedidos de subsistência estava 
em conformidade com os requisitos de processamento justo. A 
equidade do tratamento deveria ser avaliada com base no facto de o 
queixoso e os colegas terem sido informados da utilização dos dados 
pelo empregador para esse efeito.
Este caso é um exemplo de quando os dados recolhidos para uma 
finalidade legítima — neste caso, o controlo logístico — podem ser 
tratados adequadamente para outra finalidade, neste caso
90 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
verificação de reclamações de horas extras. No entanto, os responsáveis 
pelo tratamento devem ter em mente o requisito geral de tratar os dados 
pessoais de forma justa e garantir que os titulares dos dados são 
informados dos dados que são recolhidos e da natureza
e finalidade do processamento. Igualmente importante é que o 
tratamento tenha uma base jurídica, o que na maioria dos casos 
exigirá que o tratamento seja necessário para a finalidade declarada.
ESTUDO DE CASO 109
Obtenção justa de reclamação contra um Clube de Golfe
Um indivíduo apresentou uma queixa à DPC relativamente à 
utilização, pelo responsável pelo tratamento de dados, de 
imagens de CCTV para investigar um incidente no qual o 
indivíduo esteve envolvido. O indivíduo organizou um 
evento numa instalação de lazer (o responsável pelo 
tratamento de dados) e exibiu sinalização relativa aos 
procedimentos da Covid-19 para auxiliar os participantes. 
Ao final do evento, o indivíduo retirou inadvertidamente 
uma placa diferente também em relação aos procedimentos 
da Covid-19 ao retirar a sinalização que havia instalado para 
o evento. O controlador de dados revisou as imagens do 
CCTV para estabelecer quem havia removido a placa. O 
queixoso era de opinião que o responsável pelo tratamento 
de dados não tratava os seus dados pessoais de forma 
proporcional ou transparente e que não cumpria as suas 
obrigações como responsável pelo tratamento de dados na 
forma como
investigou o incidente. Dessa forma, o 
indivíduo apresentou denúncia à DPC.
A DPC interveio para tentar resolver a questão informalmente 
e as partes chegaram a uma resolução amigável quando o 
centro de lazer concordou em realizar uma auditoria à sua 
utilização do sistema CCTV e em restringir o acesso à revisão 
das imagens CCTV aos funcionários designados. O indivíduo 
agradeceu à DPC por ter tratado a sua reclamação de uma 
forma profissional e prestativa e afirmou ainda que 
inicialmente estava relutante em apresentar a reclamação, 
pois estava ciente do volume de reclamações com que a DPC 
lida e das consequentes restrições de recursos. O queixoso 
afirmou estar confiante de que a questão não surgirá no 
futuro como resultado do envolvimento da DPC. O indivíduo 
desejou expressar o seu apreço e reconhecer a eficiência da 
DPC no tratamento do assunto.
ESTUDO DE CASO 110
Processamento ilegal resultante de erro de faturação 
(Lei aplicável — Leis de proteção de dados de 1988 e 
2003 (as Leis))
Em abril de 2018, recebemos uma reclamação de um 
titular de dados que deixou de ser cliente do responsável 
pelo tratamento de dados. No entanto, ela descobriu que 
seus dados ainda estavam sendo processados enquanto 
ela continuava a receber faturas do controlador de dados. 
A reclamante recebeu garantias verbais e escritas de que 
não devia o valor cobrado.
qualquer informação sobre a alegada dívida até que ela lhes 
fornecesse dados pessoais que verificassem a sua identidade, o que 
ela se recusou a fazer. Mais tarde, no mesmo dia, a queixosa recebeu 
uma carta da empresa de cobrança de dívidas confirmando que esta 
procurava recuperar o dinheiro devido por ela ao responsável pelo 
tratamento dos dados.
Esta reclamação foi identificada como potencialmente suscetível de 
resolução amigável ao abrigo da Secção 109 da Lei de Proteção de 
Dados de 2018, tendo tanto o reclamante como o responsável pelo 
tratamento de dados concordado em trabalhar com a DPC para 
tentar resolver a questão amigavelmente. A Empresa A confirmou 
com a DPC que um erro fez com que o saldo da conta do 
reclamante parecesse pendente, mas que quando
No entanto, o queixoso recebeu posteriormente uma mensagem 
de texto de uma empresa de cobrança de dívidas, pedindo-lhe que 
a contactasse. Quando a queixosa telefonou para a empresa de 
cobrança de dívidas, esta recusou fornecer-lhe
OBJEÇÃO AO PROCESSAMENTO 91
o erro foi identificado pelo controlador de dados, o saldo devedor foi 
removido da conta. O responsável pelo tratamento dos dados 
também confirmou que tinha instruído a empresa de cobrança de 
dívidas a cessar quaisquer atividades de cobrança e também a 
eliminar quaisquer dados associados ao reclamante.
Para que um responsável pelo tratamento contrate legalmente um 
subcontratante para processar dados pessoais, deve existir, em primeiro 
lugar, uma justificação para o tratamento dos dados pessoais. Neste caso, o 
responsável pelo tratamento ignorou preocupações anteriores levantadas 
pela queixosa de que lhe estavam a ser emitidas faturas apesar de já não 
receber serviços do responsável pelo tratamento e não analisou a utilização 
continuada dos seus dados pessoais para efeitos de faturação em 
circunstâncias em que ela não era mais cliente. A DPC incentiva os 
indivíduos a levantarem questões relativas à protecção de dados 
directamente ao responsável pelo tratamento, em primeira instância, para 
que estes possam resolvê-las.
Embora o queixoso estivesse satisfeito com o resultado final, a DPC 
enfatizou ao responsável pelo tratamento de dados que o queixoso 
tinha sido previamente informado, em pelo menos duas ocasiões, de 
que a questão tinha sido resolvida. Apesar disso, os seus dados foram 
tratados de forma injusta, ao serem repassados a uma empresa de 
cobrança de dívidas, sem que houvesse qualquer justificativa para tal 
divulgação. No entanto, os responsáveis pelo tratamento de dados ignoram 
frequentemente ou desconsideram as tentativas diretas feitas por um titular 
de dados para apresentar queixas até que a DPC se envolva. Isto é 
inaceitável e, como parte das obrigações de responsabilização de cada 
organização, esta deve ter medidas significativas e eficientes em vigor para 
lidar e resolver reclamações sobre proteção de dados quando levantadas 
diretamente por um titular de dados, sem a necessidade de o titular dos 
dados recorrer à intervenção da DPC .
Em reconhecimento das suas falhas, o responsável pelo tratamento dos 
dados pediu desculpa à queixosa, deu-lhe certas garantias de que o 
assunto não teria qualquer efeito na sua classificação de crédito e fez 
doações a instituições de caridade da sua escolha.
ESTUDO DE CASO 111
Destinatáriose processamento justo
Recebemos uma reclamação contra um administrador judicial 
privado que foi nomeado por uma instituição financeira sobre a 
propriedade do reclamante.
o reclamante e a instituição financeira. Ao ser nomeado, o 
administrador judicial escreveu ao reclamante informando-o da 
sua nomeação como administrador judicial dos bens do 
reclamante e forneceu uma cópia da DOA. O administrador 
judicial nomeou uma empresa separada como seu agente gestor 
para auxiliar na administração da propriedade. Durante a 
concordata, o síndico entrou em contato com a Receita para 
pagar quaisquer impostos pendentes sobre a propriedade, como 
o Imposto Local sobre a Propriedade (LPT). Também foi 
estabelecido que o síndico abriu uma conta bancária para fins de 
administração dos rendimentos do imóvel. O nome da conta 
bancária incluía o nome do reclamante. Constatou-se ainda que 
foi subscrita uma apólice de seguro relativamente ao imóvel. Esta 
apólice de seguro referia-se ao nome do reclamante.
A denúncia alegou violações das Leis com base no fato de que o 
administrador judicial:
• Não foi registrado como controlador de acordo com a seção 
16 das Leis;
• Não tinha base legal para obter os dados pessoais do 
reclamante junto da instituição financeira;
• Processamento posterior de dados pessoais ilegalmente, 
através da divulgação de informações a uma empresa 
designada pelo síndico para administrar a concordata (o 
“agente gestor” do síndico);
• Abriu uma conta bancária em nome do reclamante; A DPC considerou primeiro se um destinatário era obrigado a 
registrar-se como controlador de dados de acordo com a seção 
16 das Leis, e se as isenções listadas na Lei de Proteção de Dados 
de 1988 (Seção 16(1)) Regulamentos de 2007 (os “Regulamentos 
de Registro”) aplicado. A DPC considerou que um destinatário não 
era obrigado a registar-se, uma vez que a isenção ao abrigo do 
regulamento 3(1)(g) do Regulamento de Registo se aplicava ao 
destinatário. O Regulamento 3(1)(g) isentava os controladores de 
dados que processavam dados em relação aos seus clientes. 
Tendo considerado a relação entre o reclamante e o destinatário, 
a DPC considerou que o
• Obteve o ID da propriedade e o PIN da Receita que 
deu ao destinatário acesso à conta online pessoal da 
Receita do reclamante; e
• Segurou o imóvel em nome do reclamante.
Após uma investigação de acordo com a seção 10 das Leis, o DPC 
estabeleceu que o administrador judicial foi nomeado pela 
instituição financeira com base em uma Escritura de Nomeação do 
Receptor (DOA), que concedeu poderes ao administrador judicial 
de acordo com a Lei de Transmissão de 1881, e de acordo com à 
escritura de hipoteca entre
92 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
isenção aplicada em relação às atividades do administrador 
judicial em relação ao reclamante.
• O tratamento deve ser necessário à finalidade e aos 
interesses legítimos prosseguidos; e
Em seguida, a DPC considerou se o destinatário tinha uma 
base legal para obter os dados pessoais da instituição 
financeira, divulgando-os ao agente gestor, e se tal 
tratamento constituía um tratamento posterior incompatível 
com a finalidade original que foi obtido nos termos da 
secção 2(1) (c)(ii) das Leis. O queixoso tinha uma hipoteca 
junto da instituição financeira, que estava em atraso. De 
acordo com a seção 19(1)(ii)
do Conveyancing Act 1881, a instituição financeira poderia 
nomear um administrador judicial assim que a dívida da 
hipoteca vencesse. A Seção 2A(1)(b)(i) das Leis permite o 
processamento de dados pessoais quando o processamento 
for necessário “para a execução de um contrato do qual o 
titular dos dados é parte”. A escritura de hipoteca era um 
contrato entre o titular dos dados e a instituição financeira, e 
nas circunstâncias em que os termos do contrato não 
estivessem a ser cumpridos, era necessária a nomeação do 
síndico pela instituição financeira para a realização do 
contacto. A DPC considerou que o destinatário tinha uma base 
legal para obter os dados pessoais do reclamante junto da 
instituição financeira.
• Os direitos e liberdades fundamentais do indivíduo em 
questão não têm precedência.
A DPC considerou que a abertura da conta bancária era uma 
medida razoável para gerir as receitas e despesas durante uma 
recuperação judicial. O administrador judicial alegou que a 
referência ao nome do reclamante como parte do nome da conta 
bancária era necessária para garantir que a liquidação judicial 
fosse realizada de forma eficiente e para evitar confusão entre 
diferentes falências. Embora tivesse sido possível abrir uma conta 
sem utilizar o nome do queixoso, o DPC teve em conta o acórdão 
do TJUE no processo Huber v Bundesrepublik C-524/062, onde o 
Tribunal considerou que o processamento poderia ser 
considerado necessário quando permitisse que o objectivo 
relevante fosse atingido. ser alcançado de forma mais eficaz. A 
DPC considerou que a referência ao nome do reclamante na 
conta bancária era, portanto, necessária, pois permitia a 
prossecução mais eficaz dos legítimos interesses do síndico.
No que diz respeito ao terceiro elemento do teste dos 
interesses legítimos (que exige um exercício de equilíbrio, 
tendo em conta os direitos e liberdades fundamentais do 
titular dos dados), a DPC considerou que a referência ao 
nome do reclamante na conta os teria identificado aos 
indivíduos quem teve acesso à conta bancária ou recebeu o 
nome da conta bancária. A DPC equilibrou estas 
preocupações com os custos administrativos e financeiros, 
que resultariam da necessidade de o administrador judicial 
implementar um procedimento alternativo para a nomeação 
de contas. No geral, a DPC não concluiu que os direitos 
fundamentais do queixoso tivessem precedência sobre os 
interesses legítimos do destinatário e, como resultado, o 
destinatário tinha uma base legal para processar o nome do 
queixoso, para efeitos dos interesses legítimos do 
destinatário.
A DPC também concluiu que o síndico tinha uma base legal, de acordo com a seção 2A(1)
(b)(i) das Leis, para divulgar dados pessoais ao seu agente gestor, para auxiliar na gestão 
diária da concordata. A DPC constatou que a instituição financeira obteve os dados 
pessoais do reclamante para efeitos de celebração de contrato de empréstimo. Este era 
um propósito específico, explícito e legítimo. A divulgação dos dados pessoais do 
reclamante pela instituição financeira ao destinatário, e pelo destinatário ao agente 
gestor, esteve de acordo com a finalidade inicial para a qual os dados pessoais foram 
obtidos. Este processamento durante a recuperação judicial não constituiu 
processamento adicional de acordo com a seção 2(1)(c)(ii) das Leis. A DPC avaliou se o 
síndico tinha base legal para abrir uma conta bancária em nome do reclamante. O 
queixoso alegou que esta conta foi aberta sem o seu conhecimento ou consentimento. O 
consentimento é uma das bases legais para o processamento de dados pessoais nos 
termos das Leis. A DPC considerou se o destinatário tinha de outra forma uma base legal 
para o processamento nos termos da seção 2A(1)(d) das Leis, com base em interesses 
legítimos. Para avaliar esta base jurídica, o DPC teve em conta o processo C-13/16(1) do 
Tribunal de Justiça da União Europeia (TJUE), que estabelece um teste em três etapas para 
o tratamento com base em interesses legítimos, como segue: com base em interesses 
legítimos. Para avaliar esta base jurídica, o DPC teve em conta o processo C-13/16(1) do 
Tribunal de Justiça da União Europeia (TJUE), que estabelece um teste em três etapas para 
o tratamento com base em interesses legítimos, como segue: com base em interesses 
legítimos. Para avaliar esta base jurídica, o DPC teve em conta o processo C-13/16(1) do 
Tribunal de Justiça da União Europeia (TJUE), que estabelece um teste em três etapas para 
o tratamento com base em interesses legítimos, como segue:
No que diz respeito à alegação de que o destinatário tinha 
obtidoacesso à conta pessoal da Receita do reclamante, a 
DPC concluiu que o destinatário não obteve acesso à conta 
pessoal online da Receita do reclamante, conforme alegado. O 
síndico atuava como agente tributário em relação ao LPT e 
isso não permitia o acesso a uma conta pessoal da Receita. Em 
relação à apólice de seguro subscrita em nome do 
reclamante, a DPC considerou que o destinatário não 
procedeu ao tratamento de dados pessoais neste caso.
Durante o curso da investigação, a DPC também examinou 
se o destinatário havia cumprido os princípios de proteção 
de dados previstos na seção 2 das Leis. A este respeito, a 
DPC examinou a correspondência inicial que o síndico enviou 
ao queixoso, notificando-o da sua nomeação. Esta 
correspondência consistia em uma carta de apresentação e 
uma cópia do DOA. A carta de apresentação e a DOA foram 
avaliadas para determinar se o
Valsts policijas Rīgas reģiona pārvaldes Kārtības 
policijas pārvalde v Rīgas pašvaldības SIA «Rīgas 
satiksme» Processo C-13/16
• O tratamento de dados pessoais deve ser para a prossecução de um 
interesse legítimo do responsável pelo tratamento ou de terceiro;
OBJEÇÃO AO PROCESSAMENTO 93
o destinatário cumpriu a sua obrigação de processar os dados 
pessoais de forma justa. A Seção 2D das Leis exigia que uma 
organização que controla dados pessoais fornecesse informações 
sobre a identidade do controlador de dados, informações sobre os fins 
pretendidos para os quais os dados podem ser processados, as 
categorias dos dados em questão, bem como quaisquer outras 
informações necessárias. para permitir um processamento justo. A 
DPC considerou que a correspondência era suficiente para informar o 
reclamante da identidade do responsável pelo tratamento dos dados 
(e do responsável pelo tratamento dos dados original). No entanto, a 
DPC considerou que, embora o destinatário não fosse obrigado a 
fornecer informações granulares sobre cada finalidade para a qual os 
dados pessoais deveriam ser processados, o destinatário deveria ter 
fornecido uma descrição geral das finalidades para as quais os dados 
pessoais se destinavam a ser processados. , e isso não foi feito neste 
caso . Foi também considerado que o destinatário deveria ter 
fornecido as categorias de dados pessoais que possuía em relação ao 
reclamante, mas isso não foi feito. À luz disto, a DPC considerou que o 
receptor não cumpriu a secção 2D das Leis.
para gerenciar e realizar ativos garantidos. Os indivíduos devem 
estar cientes de que as suas informações podem ser processadas 
sem o seu consentimento em circunstâncias em que uma escritura 
de hipoteca preveja a nomeação de um destinatário. Ao mesmo 
tempo, os destinatários devem cumprir as suas obrigações ao 
abrigo das Leis e do RGPD de fornecer aos indivíduos informações 
sobre o processamento no início da liquidação. A decisão é 
actualmente objecto de recurso por parte do queixoso para o 
Tribunal de Circuito.
1. Valsts policijas Rīgas reģiona pārvaldes kārtības policijas 
pārvalde v Rīgas pašvaldības SIA «Rīgas satiksme» Processo 
C-13/16
2. Heinz Huber/Bundesrepublik Deutschland Processo 
C-524/06
3. O tratamento de dados pessoais foi considerado num caso 
semelhante em que o mesmo reclamante apresentou 
uma reclamação contra o agente gestor neste caso. Nessa 
decisão, a DPC considerou que o agente gestor tinha 
interesse legítimo no tratamento dos dados pessoais do 
reclamante para efeitos de seguro do imóvel.
Esta decisão da DPC demonstra que os destinatários privados e os 
seus agentes podem tratar licitamente dados pessoais dos 
mutuários, sempre que tal tratamento seja necessário para
ESTUDO DE CASO 112
Publicação não autorizada de fotografia 
(Resolução Amigável)
A DPC recebeu uma reclamação de um indivíduo 
relativamente à publicação da sua fotografia num artigo 
contido num boletim informativo do local de trabalho sem o 
seu consentimento. O responsável pelo tratamento dos 
dados, que era o empregador do indivíduo no setor público, 
informou o indivíduo que deveria ter obtido consentimento 
para utilizar a fotografia no boletim informativo do local de 
trabalho, uma vez que não era esse o propósito para o qual a 
fotografia foi obtida. O responsável pelo tratamento também 
informou ao indivíduo que ocorreu uma violação de dados 
neste caso.
fotografia do indivíduo no boletim informativo do local de trabalho. 
A(s) finalidade(s) para a(s) qual(is) a fotografia foi inicialmente obtida 
não incluía(m) a publicação numa newsletter. Um pedido de 
desculpas do empregador foi emitido ao indivíduo. No entanto, o 
queixoso não considerou que esta fosse uma resolução adequada 
para a queixa em questão.
A DPC forneceu recomendações para que um folheto de 
informações de consentimento seja distribuído ao pessoal antes 
do uso de fotografia, áudio e/ou vídeo, e que um formulário de 
consentimento para fotografia, áudio e vídeo seja preenchido e 
assinado antes da obtenção de imagens ou gravações, o que o 
controlador posteriormente implementado.
Esta reclamação foi identificada como potencialmente resolvida amigavelmente ao 
abrigo da Secção 109 da Lei de Protecção de Dados de 2018, tendo tanto o 
reclamante como o responsável pelo tratamento de dados concordado em 
trabalhar com a DPC para tentar resolver a questão amigavelmente.
O Artigo 5(1)(b) do GDPR afirma que “os dados pessoais serão 
coletados para finalidades específicas, explícitas e legítimas e não 
serão processados posteriormente de maneira incompatível com 
essas finalidades ('limitação de finalidade'). o controlador de 
dados processou posteriormente os dados pessoais do indivíduo 
sem o seu consentimento (ou outra base legal) para fazê-lo 
quando publicou a fotografia do funcionário no boletim 
informativo do local de trabalho. A DPC emitiu uma carta 
informando o queixoso sobre o mesmo. O
O controlador de dados entrou em contato com a DPC sobre o 
assunto e informou que havia conduzido uma investigação 
interna e determinado que ocorreu uma violação de dados e 
que deveria ter sido obtido consentimento para usar o
94 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
A DPC ficou satisfeita com as medidas organizacionais introduzidas 
posteriormente e, como tal, não se justificaram quaisquer outras acções por 
parte do responsável pelo tratamento neste caso.
significativo, mas mesmo assim o processamento de dados pessoais 
incomoda o indivíduo e é uma violação do GDPR nas circunstâncias. 
Isto sublinha a necessidade de todas as organizações formarem o 
pessoal — a todos os níveis e em todas as funções — para estarem 
conscientes do RGPD e terem em conta os seus princípios.
Neste estudo de caso, os riscos para os direitos e liberdades 
fundamentais do indivíduo não poderiam ser considerados
ESTUDO DE CASO 113
Processamento de imagens de cerimónia fúnebre pela igreja paroquial 
(Resolução Amigável)
Relatório Anual 2021 Estudo de Caso 3 (Lei Aplicável 
— GDPR e Lei de Proteção de Dados de 2018)
a igreja informa aos participantes no início dos cultos que eles serão 
transmitidos ao vivo e possuem placas com essas informações nas 
portas de entrada. A igreja paroquial implementou alterações devido a 
esta reclamação, incluindo informar os participantes durante um culto 
que o mesmo está a ser transmitido em directo, incluindo informações 
sobre a sua transmissão em directo e gravação em boletins 
informativos paroquiais e no seu site, apenas respondendo a pedidos 
por escrito de gravações e protegendo a senha do gravações no futuro.
Um indivíduo apresentou uma reclamação contra uma 
igreja paroquial relativa ao tratamento de dados pessoais 
do indivíduo decorrentes da transmissão e gravação em 
direto do funeral de um familiar a que o indivíduo tinha 
assistido. O indivíduo também reclamou da falta de 
transparência da gravação.
A DPC escreveu ao indivíduo e informou-o, ao abrigo da 
secção 109(5)(c) da Lei de 2018, que a igreja paroquial e 
aqueles que não podiam comparecer a um serviçofúnebre 
tinham um interesse legítimo em assistir ao serviço por 
transmissão em directo ou gravação. A DPC registou o 
período de retenção de 30 dias das imagens, a visão fixa 
restrita da câmara e as alterações que a igreja paroquial 
fez decorrentes desta denúncia, incluindo a exigência de 
pedido de gravação por escrito e protecção de palavra-
passe dessas gravações. A DPC informou ao indivíduo que 
a resposta da igreja paroquial era razoável nas 
circunstâncias desta queixa e referiu que a gravação foi 
solicitada por outro familiar do falecido. No entanto,
O indivíduo queixou-se à DPC sobre a resposta da igreja 
paroquial à sua preocupação com a utilização de transmissão e 
gravação em directo nos serviços fúnebres. Na nossa análise da 
reclamação, a DPC contactou a igreja paroquial para determinar a 
sua base legal para o processamento e para esclarecimentos 
sobre a sua resposta à reclamação de dados. A igreja paroquial 
informou a DPC que foi utilizada a transmissão em directo dos 
serviços fúnebres durante as restrições da Covid-19 e que gravam 
os serviços fúnebres quando solicitados pelos familiares, o que 
aconteceu nesta denúncia, geralmente quando não se pode 
comparecer ao funeral. A igreja paroquial informou a DPC que 
utiliza uma câmara em local fixo para fazer estas gravações e 
para transmissão em directo. A igreja paroquial remove as 
gravações do seu site ao final de 30 dias.
A igreja paroquial pediu desculpas ao indivíduo por qualquer 
sofrimento causado e particularmente por não ter informado o 
indivíduo do período de retenção de apenas 30 dias. A paróquia
OBJEÇÃO AO PROCESSAMENTO 95
ESTUDO DE CASO 114
Processamento adicional para uma finalidade compatível
O queixoso era um advogado que contratou outro 
advogado para os representar em processos 
judiciais. A relação entre o queixoso e o advogado 
contratado pelo queixoso ruiu e o advogado 
apresentou uma queixa sobre o comportamento 
do queixoso à Sociedade Jurídica. Neste contexto, 
o advogado forneceu certas informações sobre o 
queixoso à Law Society. O queixoso remeteu o 
assunto para a DPC, alegando que o advogado 
tinha infringido a legislação de protecção de 
dados.
A DPC salientou que, quando o responsável pelo tratamento 
apresentou uma reclamação à Law Society, procedeu ao 
tratamento posterior dos dados pessoais do reclamante. Dado 
que o tratamento posterior se destinava a uma finalidade 
diferente da finalidade para a qual foi recolhido, a DPC teve de 
considerar se a finalidade subjacente ao tratamento posterior 
era incompatível com a finalidade original.
A DPC confirmou que uma finalidade diferente não é 
necessariamente uma finalidade incompatível e que a 
incompatibilidade deve ser sempre avaliada caso a caso. Neste 
caso, a DPC considerou que, por existir um interesse público em 
garantir a adequada regulamentação da profissão jurídica, a 
finalidade para a qual os dados do reclamante foram 
posteriormente tratados não era incompatível com a finalidade 
para a qual foram originalmente recolhidos. Nesta base, o 
responsável pelo tratamento agiu de acordo com a legislação de 
proteção de dados.
Foi estabelecido que o advogado do reclamante era o responsável 
pelo tratamento dos dados, uma vez que controlava o conteúdo e a 
utilização dos dados pessoais do reclamante para efeitos de 
prestação de serviços jurídicos ao reclamante. Os dados em questão 
consistiam (entre outras coisas) em informações relacionadas com o 
processo judicial do queixoso e eram dados pessoais porque o 
queixoso podia ser identificado a partir deles e estavam relacionados 
com o queixoso como indivíduo.
A DPC observou então que, além de outros requisitos legais, um 
controlador de dados deve ter uma base legal para o processamento 
de dados pessoais. A base jurídica que o responsável pelo tratamento 
procurou invocar neste caso foi que o tratamento era necessário para 
efeitos dos interesses legítimos prosseguidos pelo responsável pelo 
tratamento. A este respeito, a DPC considerou que o responsável pelo 
tratamento dos dados tinha um interesse legítimo em divulgar à 
Sociedade Jurídica qualquer comportamento que pudesse 
desacreditar a reputação da profissão jurídica. Além disso, o Código 
de Conduta da Sociedade Jurídica exigia que o controlador de dados 
denunciasse má conduta grave à Sociedade Jurídica). Como resultado, 
a DPC considerou que o responsável pelo tratamento dos dados tinha 
uma base jurídica válida para divulgar os dados pessoais do queixoso 
e não tinha infringido a legislação.
A DPC observou a jurisdição da Law Society para lidar com 
queixas relacionadas com a má conduta de advogados (em 
virtude das Leis dos Solicitadores de 1954-2015). Também aceitou 
que o tipo de má conduta que a Law Society pode investigar inclui 
qualquer conduta que possa prejudicar a reputação da profissão. 
A DPC também observou que a Law Society aceita jurisdição para 
investigar reclamações feitas por advogados sobre outros 
advogados (e não apenas reclamações feitas por ou em nome de 
clientes) e o seu código de conduta exige que, se um advogado 
acreditar que outro advogado está envolvido em má conduta , 
deverá ser reportado à Law Society. A DPC considerou, portanto, 
que a reclamação apresentada pelo responsável pelo tratamento 
dos dados à Law Society foi devidamente apresentada e que cabia 
à Law Society decidir sobre o mérito da reclamação.
Nos termos do artigo 6.º do RGPD, o responsável pelo tratamento de dados 
deve ter uma base jurídica válida para o tratamento de dados pessoais. 
Uma dessas bases jurídicas, no artigo 6.º, n.º 1, alínea f), do RGPD, 
estabelece que o tratamento é lícito se e na medida em que for necessário 
para efeitos dos interesses legítimos prosseguidos pelo responsável pelo 
tratamento ou por um terceiro, exceto sempre que tais interesses sejam 
anulados pelos interesses ou direitos ou liberdades fundamentais do titular 
dos dados. No entanto, o artigo 6.º, n.º 4, do RGPD prevê que, quando o 
tratamento de dados pessoais for realizado para uma finalidade diferente 
daquela para a qual os dados foram inicialmente recolhidos, tal só será 
permitido quando esse tratamento posterior for compatível com as 
finalidades para as quais o foram inicialmente recolhidos dados pessoais.
A DPC considerou então se o responsável pelo tratamento dos dados 
tinha cometido uma violação da legislação de protecção de dados. A 
este respeito, a DPC observou que os responsáveis pelo tratamento 
dos dados devem cumprir determinados princípios jurídicos que estão 
estabelecidos na legislação pertinente. De particular relevância para 
esta reclamação foi o requisito de que os dados devem ser obtidos 
para fins específicos e não processados de forma incompatível com 
esses fins. A DPC estabeleceu que a razão pela qual os dados pessoais 
do reclamante foram inicialmente recolhidos/tratados foi para efeitos 
de prestação de serviços jurídicos ao reclamante. O
Ao considerar se o tratamento para outra finalidade é compatível com a 
finalidade para a qual os dados pessoais foram inicialmente recolhidos, 
os responsáveis pelo tratamento devem tomar em consideração
96 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
em consideração (i) qualquer ligação entre as finalidades para as 
quais os dados foram recolhidos e as finalidades do tratamento 
posterior pretendido, (ii) o contexto em que os dados foram 
recolhidos, (iii) a natureza dos dados pessoais, (iv) o
possíveis consequências do tratamento posterior pretendido para 
os titulares dos dados e (v) a existência de garantias adequadas.
ESTUDO DE CASO 115
Tratamento necessário para efeitos de interesses legítimos 
prosseguidos por um responsável pelo tratamento
Este reclamante era funcionário de uma loja situada 
num centro comercial e esteve envolvido num incidente 
no parque de estacionamento do centro comercial 
relativo ao pagamento da taxa de estacionamento. 
Após o incidente, o gestor do parque de 
estacionamentoapresentou uma queixa ao 
empregador do queixoso e as imagens das imagens 
CCTV foram fornecidas ao empregador do queixoso. O 
queixoso remeteu o assunto à DPC para examinar se a 
divulgação das imagens CCTV era lícita.
afirmou que o responsável pelo tratamento dos dados tinha, em princípio, 
um interesse legítimo em divulgar os dados pessoais do queixoso pelas 
razões que apresentou. No entanto, não era “necessário” que o responsável 
pelo tratamento dos dados divulgasse as imagens fixas da CCTV ao 
empregador do queixoso para efeitos de prossecução desses interesses 
legítimos. Isto deveu-se ao facto de o funcionário do parque de 
estacionamento contratado pelo responsável pelo tratamento dos dados ter 
poder discricionário para tomar medidas contra o reclamante, na 
prossecução dos interesses legítimos, sem necessidade de envolver o 
empregador do reclamante. Por exemplo, o atendente do estacionamento 
tinha poder discricionário para proibir o reclamante de usar o 
estacionamento sem envolver o empregador do reclamante. Nesta base, a 
DPC determinou que não era necessário que o responsável pelo tratamento 
dos dados notificasse o empregador do reclamante sobre o incidente e lhe 
fornecesse imagens fixas do CCTV. Assim, o responsável pelo tratamento 
dos dados não tinha base jurídica para o fazer e violou a legislação em 
matéria de protecção de dados.
Foi estabelecido que o centro comercial era o responsável pelo 
tratamento dos dados, uma vez que controlava o conteúdo e a 
utilização das informações pessoais do reclamante para efeitos de 
divulgação das imagens fixas do CCTV ao empregador do 
reclamante. Os dados em questão consistiam em imagens do 
reclamante e eram dados pessoais porque se referiam ao 
reclamante como indivíduo e o reclamante podia ser identificado a 
partir deles.
Nos termos do artigo 6.º do RGPD, os dados pessoais só podem ser 
tratados quando exista uma base legal para o fazer. Uma dessas bases 
jurídicas é o artigo 6.º, n.º 1, alínea f), que estabelece que o tratamento 
é lícito se e na medida em que for necessário para efeitos dos 
interesses legítimos prosseguidos pelo responsável pelo tratamento 
ou por um terceiro, exceto quando tais interesses são anulados pelos 
interesses ou direitos ou liberdades fundamentais do titular dos 
dados. Os responsáveis pelo tratamento dos dados devem estar 
cientes, no entanto, de que não é suficiente apenas demonstrar que 
existe um interesse legítimo no tratamento dos dados pessoais; 
Artigos 5.º, n.º 1, alínea c) e 6.º, n.º 1
(f) exigir que os responsáveis pelo tratamento dos dados sejam capazes de 
demonstrar que o tratamento em questão se limita ao que é “necessário” para a 
prossecução desses interesses legítimos.
O responsável pelo tratamento de dados argumentou que tinha um 
interesse legítimo em divulgar as imagens CCTV ao empregador do 
queixoso, por exemplo, para evitar que as pessoas saíssem do parque de 
estacionamento sem pagar e para rescindir o acordo que tinha com o 
empregador do queixoso relativamente ao estacionamento do seu pessoal 
no estacionamento. A DPC observou que um controlador de dados deve ter 
uma base legal para processar os dados pessoais de uma pessoa. Uma das 
bases jurídicas em que um responsável pelo tratamento pode confiar é que 
o tratamento é necessário para efeitos dos interesses legítimos 
prosseguidos pelo responsável pelo tratamento. (Esta foi a base jurídica em 
que o responsável pelo tratamento procurou basear-se aqui.) A DPC 
reconhece
OBJEÇÃO AO PROCESSAMENTO 97
ESTUDO DE CASO 116
Tratamento necessário para efeitos de 
execução de um contrato
Este queixoso esteve envolvido num incidente num 
parque de estacionamento de um edifício onde 
trabalhava. Uma reclamação foi apresentada pelo 
gestor do parque de estacionamento ao empregador 
do queixoso e as imagens das imagens CCTV do 
incidente foram posteriormente obtidas pelo 
empregador do queixoso. Foram então instaurados 
processos disciplinares contra o queixoso decorrentes 
do incidente no parque de estacionamento. O gestor 
do queixoso e outros colegas do queixoso visualizaram 
as imagens fixas da CCTV no contexto do processo 
disciplinar.
os dados estão sendo processados) é uma parte. A DPC observou 
que o responsável pelo tratamento dos dados procurou 
argumentar que a utilização das imagens CCTV era necessária para 
a execução do contrato de trabalho do queixoso. No entanto, a DPC 
considerou que não era «necessário» que o responsável pelo 
tratamento processasse os dados pessoais do queixoso contidos 
nas imagens CCTV para executar esse contrato. Para que este 
argumento fosse bem sucedido, o responsável pelo tratamento dos 
dados teria de demonstrar que não poderia ter executado o 
contrato de trabalho do queixoso sem tratar os dados pessoais do 
queixoso. Como o controlador de dados não conseguiu convencer a 
DPC de que este era o caso, o controlador de dados foi considerado 
como tendo infringido a legislação de proteção de dados.
O empregador do reclamante era o responsável pelo 
tratamento dos dados em relação à reclamação, porque 
controlava o conteúdo e a utilização dos dados pessoais do 
reclamante para efeitos de gestão do emprego do 
reclamante e de condução do processo disciplinar. Os dados 
em questão consistiam em imagens do reclamante e eram 
dados pessoais porque se referiam ao reclamante como 
indivíduo e o reclamante era identificável a partir deles.
A DPC observou ainda que, além do requisito de ter uma base legal 
para o tratamento, existem também certos princípios jurídicos que um 
responsável pelo tratamento de dados deve cumprir, ao tratar dados 
pessoais. Destacou que o tratamento deve ser adequado, relevante e 
limitado ao necessário em relação às finalidades para as quais os 
dados são tratados. A DPC tomou nota do argumento do responsável 
pelo tratamento de dados de que as imagens fixas do CCTV estavam 
limitadas ao incidente em questão e que apenas um número limitado 
de pessoal envolvido no processo disciplinar viu as imagens fixas. No 
entanto, a DPC considerou que o responsável pelo tratamento não 
conseguiu demonstrar por que era necessário utilizar as imagens 
CCTV. Nesta base, houve uma nova violação da legislação por parte do 
responsável pelo tratamento dos dados.
Em resposta à reclamação, o responsável pelo tratamento dos 
dados sustentou que tinha uma base legal para o tratamento dos 
dados pessoais do reclamante ao abrigo da legislação, porque as 
imagens CCTV foram utilizadas para fazer cumprir o código de 
conduta dos funcionários, que fazia parte do contrato de trabalho 
do reclamante. Afirmou ainda que, devido à gravidade do 
incidente envolvendo o reclamante, era necessário que o 
responsável pelo tratamento investigasse o incidente de acordo 
com a política disciplinar da empresa, referida no contrato de 
trabalho do reclamante. O responsável pelo tratamento dos dados 
também argumentou que as imagens fixas do CCTV estavam 
limitadas ao incidente em questão e que apenas um número 
limitado de pessoas envolvidas no processo disciplinar as 
visualizaram.
Nos termos do artigo 6.º do RGPD, os dados pessoais só podem ser 
tratados quando exista uma base legal para o fazer. Uma dessas bases 
jurídicas é o artigo 6.º, n.º 1, alínea b), que estabelece que o tratamento é 
lícito se e na medida em que for necessário para a execução de um 
contrato do qual o titular dos dados seja parte. Os responsáveis pelo 
tratamento dos dados devem estar cientes, no entanto, de que não é 
suficiente apenas demonstrar que existe uma base contratual para o 
tratamento dos dados pessoais; Os artigos 5.º, n.º 1, alínea c), e 6.º, n.º 1, 
alínea b), exigem que os responsáveis pelo tratamento dos dados sejam 
capazes de demonstrar que o tratamento em questão se limita ao que é 
“necessário” para efeitos de execução do contrato.
A DPC observou que a legislação de protecção de dados 
permite o tratamento de dadospessoais de uma pessoa 
quando o tratamento for necessário para a execução de um 
contrato ao qual o titular dos dados (a pessoa cujo
98 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 117
Processamento justo e legal de imagens CCTV de um cliente
Esta queixa dizia respeito ao tratamento dos dados pessoais 
do queixoso sob a forma de uma imagem fixa proveniente de 
imagens CCTV captadas numa casa de apostas, através da 
distribuição dessa imagem a diversas casas de apostas da 
cadeia com uma nota de advertência ao pessoal, a fim de 
evitar que o queixoso fazer apostas.
A Comissão examinou então se a obrigação de tratar os 
dados pessoais de forma leal tinha sido cumprida pelo 
responsável pelo tratamento dos dados. Neste contexto, a 
Comissão observou que o responsável pelo tratamento 
dos dados é obrigado a fornecer ao reclamante 
informações sobre os elementos-chave da recolha e 
utilização dos dados pessoais do reclamante. O 
responsável pelo tratamento de dados forneceu ao 
reclamante um documento interno da empresa e 
confirmou que os dados pessoais do reclamante foram 
processados de acordo com este documento. No 
entanto, o documento tinha uma data posterior à data em 
que os dados pessoais do reclamante foram tratados. 
Nesta base,
A Comissão determinou que a casa de apostas era a 
responsável pelo tratamento dos dados porque controlava e 
tratava os dados pessoais em questão. Os dados eram (entre 
outras coisas) uma imagem do reclamante e notas internas 
distribuídas ao pessoal do responsável pelo tratamento de 
dados sobre o reclamante. Os dados eram dados pessoais 
porque se referiam ao reclamante como indivíduo e o 
reclamante podia ser identificado a partir dos dados.
Em resposta à reclamação, o responsável pelo tratamento apresentou 
uma série de razões para o tratamento dos dados pessoais do 
reclamante e procurou argumentar que existia uma base jurídica 
válida para cada finalidade, conforme previsto na legislação de 
proteção de dados.
Por último, a Comissão considerou o período de tempo durante o 
qual os dados pessoais foram conservados. A este respeito, observou 
que a legislação pertinente exige que o responsável pelo tratamento 
de dados guarde os dados pessoais apenas durante o período 
necessário para os fins para os quais os dados são tratados. Os 
dados pessoais do queixoso foram conservados durante 
aproximadamente sete anos. A Comissão considerou que, uma vez 
que o responsável pelo tratamento dos dados tinha um interesse 
legítimo em conservar os dados do queixoso (para gestão do risco 
comercial), o responsável pelo tratamento dos dados agiu em 
conformidade com a legislação a este respeito.
As razões e correspondentes bases jurídicas apresentadas pelo 
responsável pelo tratamento incluíram o seguinte:
1. Obrigações legais e regulamentares: O responsável pelo 
tratamento de dados argumentou que é obrigado a reter e 
utilizar dados pessoais para cumprir determinadas obrigações 
legais e regulamentares, tais como detectar atividades de apostas 
suspeitas e transações fraudulentas ao abrigo da legislação de 
justiça criminal aplicável. A base jurídica apresentada pelo 
responsável pelo tratamento dos dados foi que o tratamento era 
lícito porque era necessário que o responsável pelo tratamento 
dos dados cumprisse uma obrigação legal.
Nos termos do artigo 6.º do RGPD, um responsável pelo tratamento de 
dados deve ter uma base legal válida para o tratamento de dados pessoais. 
Entre as bases lícitas disponíveis estão que o tratamento de dados pessoais é 
necessário para a prossecução dos interesses legítimos prosseguidos pelo 
responsável pelo tratamento ou que o tratamento é necessário para o 
cumprimento de uma obrigação legal a que o responsável pelo tratamento 
está sujeito. O responsável pelo tratamento deve ter uma base legal não 
apenas para a obtenção inicial dos dados pessoais, mas também para o seu 
processamento contínuo, incluindo o armazenamento, e os dados não 
devem ser conservados por mais tempo do que o necessário para a 
finalidade para a qual são processados ( Artigo 5(1)(e) do RGPD) .
2. Gestão de Risco: O responsável pelo tratamento alegou que 
regista dados pessoais relativos a clientes para gestão de risco 
comercial. A base jurídica apresentada a este respeito foi que o 
tratamento era lícito porque era necessário para efeitos dos 
interesses legítimos prosseguidos pelo responsável pelo 
tratamento dos dados.
3. Criação de perfis: O responsável pelo tratamento de dados confirmou que 
realiza a criação de perfis das atividades de apostas dos clientes para 
(entre outras coisas) melhorar a experiência do cliente. O responsável 
pelo tratamento alegou que esse tratamento é lícito, pois é necessário 
para o cumprimento das obrigações legais e para efeitos dos interesses 
legítimos prosseguidos pelo responsável pelo tratamento.
Além de ter uma base legal válida para o processamento de dados pessoais, 
no entanto, um responsável pelo tratamento de dados deve cumprir uma 
série de obrigações adicionais em relação aos dados pessoais que estão 
sendo processados. Em particular, os dados pessoais devem ser tratados de 
forma justa e transparente. Para este efeito, o responsável pelo tratamento 
de dados é obrigado a fornecer ao titular dos dados determinadas 
informações nos termos do artigo 13.º do artigo 14.º do RGPD, de acordo 
com os requisitos do artigo 12.º do RGPD. As informações que devem ser 
fornecidas ao
A Comissão decidiu que o responsável pelo tratamento dos dados 
identificou uma base jurídica adequada para cada finalidade para 
a qual tratou dados pessoais relativos aos seus clientes.
OBJEÇÃO AO PROCESSAMENTO 99
o titular dos dados inclui a identidade e os dados de contacto do 
responsável pelo tratamento e do responsável pela proteção de dados do 
responsável pelo tratamento, quando aplicável, as finalidades do 
tratamento e os destinatários ou categorias de destinatários dos dados,
caso existam . A informação deve ser prestada de forma 
concisa, transparente, inteligível e de fácil acesso, utilizando 
linguagem clara e simples.
ESTUDO DE CASO 118
Processamento e divulgação ilegais de dados de categorias especiais
Um titular de dados apresentou uma reclamação à 
Comissão de Proteção de Dados (DPC) contra o seu 
banco (o responsável pelo tratamento dos dados), por 
acreditar que os seus dados pessoais foram tratados 
ilicitamente. O titular dos dados explicou que possuía 
uma hipoteca junto do responsável pelo tratamento 
dos dados, e esta hipoteca foi vendida a outro banco, 
no âmbito de um contrato de venda de empréstimo. O 
titular dos dados queixou-se de que esta venda foi 
processada sem o seu conhecimento ou consentimento 
prévio e estava especificamente preocupado com o 
facto de o responsável pelo tratamento partilhar o seu 
endereço de e-mail pessoal e número de telemóvel 
com outro banco, por considerar que se tratava de uma 
divulgação excessiva de dados pessoais. Embora o 
titular dos dados não tenha se oposto à partilha do seu 
nome, morada ou número de telefone fixo,
dados pessoais sem consentimento prévio, uma vez que uma das 
outras cinco bases, listadas no Artigo 6 do GDPR, seja atendida. Neste 
caso, o responsável pelo tratamento de dados baseou-se no artigo 6.º, 
n.º 1, alínea f), e, como tal, é obrigado a realizar um teste de equilíbrio 
para garantir que os interesses legítimos prosseguidos pelo 
responsável pelo tratamento não são anulados pelos interesses, 
direitos, ou liberdades fundamentais do titular dos dados. O 
responsável pelo tratamento confirmou à DPC que tinha realizado um 
teste de equilíbrio e foi confirmado que o tratamento dos dados 
pessoais, neste caso, não se sobrepõe aos interesses, direitos ou 
liberdades fundamentais do titular dos dados.
O responsável pelo tratamento explicou ainda que era necessário que o 
responsável pelo tratamento partilhasse as informações de contacto do 
titular dos dadoscom o outro banco, uma vez que eram os novos 
responsáveis pelo tratamento dos dados para o empréstimo do titular dos 
dados. O responsável pelo tratamento também esclareceu que não faz 
distinção entre os diferentes tipos de informações de contacto, ou seja, 
números de telefone fixo e móvel, uma vez que esta informação foi 
fornecida ao responsável pelo tratamento de dados para efeitos de contacto 
com clientes. Como tal, esta informação é exigida pelo banco gestor do 
empréstimo.
Antes de contactar a DPC, o titular dos dados contactou diretamente o 
responsável pelo tratamento dos dados relativamente à sua 
reclamação. O responsável pelo tratamento respondeu ao titular dos 
dados e informou que a sua base legal para o tratamento dos seus 
dados pessoais era o artigo 6(1)(f) do Regulamento Geral de Proteção 
de Dados (RGPD), que afirma: “O tratamento é necessário para efeitos 
do legítimo interesses perseguidos pelo controlador.”
O Artigo 9 do GDPR descreve dados pessoais de categoria especial 
como:
“dados pessoais que revelem a origem racial ou étnica, as opiniões 
políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, e o 
tratamento de dados genéticos, dados biométricos para efeitos de 
identificação inequívoca de uma pessoa singular, dados relativos à saúde 
ou dados relativos à saúde de uma pessoa singular vida sexual ou 
orientação sexual.”
Ao iniciar o exame, a DPC comunicou a reclamação do titular dos 
dados ao responsável pelo tratamento e solicitou uma resposta 
detalhada. O responsável pelo tratamento informou à DPC que, 
como parte do seu Aviso de Privacidade de Dados, cuja cópia é 
fornecida aos seus clientes, detalha que o responsável pelo 
tratamento pode vender ativos da empresa para gerir os seus 
negócios. Isso também é detalhado na carta de oferta de 
empréstimo aos solicitantes de hipotecas.
Assim, a DPC esclareceu ao titular dos dados que os números de telemóvel 
e endereços de correio eletrónico não se enquadram nesta categoria. Nos 
termos da secção 109(5)(c) da Lei de 2018, a DPC informou o titular dos 
dados que, depois de examinar a sua reclamação, a DPC não encontrou 
provas de que os seus dados pessoais tenham sido tratados ilegalmente. 
Embora o responsável pelo tratamento se baseasse numa base legítima 
para processar os dados, fê-lo de forma transparente e manteve o titular 
dos dados totalmente informado em todas as fases principais da venda, 
pelo que esta foi conduzida com o conhecimento prévio do titular dos 
dados. A DPC não considerou necessária qualquer acção adicional no 
momento da publicação do resultado.
Em relação à partilha excessiva de dados pessoais, o 
responsável pelo tratamento destacou que não considera um 
endereço de e-mail ou um número de telemóvel como 
informação sensível, nem se enquadra em categorias especiais 
de dados pessoais nos termos do artigo 9.º do RGPD.
A DPC informou que, embora o consentimento seja uma das seis bases 
legais para o processamento de dados pessoais, é legal processar
100 ESTUDOS DE CASOS DA COMISSÃO DE PROTEÇÃO DE DADOS
ESTUDO DE CASO 119
Processamento ilegal de dados de categorias especiais
Um titular de dados apresentou uma reclamação à 
Comissão de Proteção de Dados (DPC) contra o seu 
empregador (responsável pelo tratamento de dados) 
relativamente ao tratamento dos seus dados de saúde nos 
termos do artigo 9.º do Regulamento Geral de Proteção de 
Dados (RGPD). O titular dos dados explicou à DPC que tinha 
sido dispensado do trabalho pelo seu médico de família e, 
por isso, apresentou o seu atestado médico à sua entidade 
empregadora, num envelope endereçado ao Médico da 
organização. Um membro da equipe na função de gerente 
interino abriu o atestado médico; no entanto, o papel dessa 
pessoa não era o de médico. Antes de contactar a DPC, o 
titular dos dados contactou o seu empregador para 
responder às suas preocupações de que considerava que os 
seus dados pessoais sensíveis tinham sido tratados 
ilegalmente; no entanto, eles não receberam resposta à sua 
reclamação.
Como parte da sua análise, a DPC contactou o responsável pelo 
tratamento dos dados e partilhou os detalhes da reclamação do 
titular dos dados. O responsável pelo tratamento respondeu à 
DPC e explicou que, de acordo com os Procedimentos 
Operacionais Padrão da sua organização, como não havia 
nenhum médico de serviço no dia em questão, a responsabilidade 
e autoridade para conceder licença, por doença ou não, cabe 
automaticamente ao gestor no dia, que neste caso foi o gestor 
que processou o atestado médico.
O titular dos dados não aceitou a explicação fornecida pelo 
responsável pelo tratamento dos dados e contestou que um atestado 
médico não deveria ser processado por ninguém que não fosse o 
médico responsável designado.
Através do seu exame, a DPC concluiu que, nos termos da secção 109(5)(c) 
da Lei de 2018, o responsável pelo tratamento dos dados tinha uma base 
legítima para processar os dados pessoais sensíveis do titular dos dados ao 
abrigo do RGPD e, portanto, não ocorreu qualquer tratamento ilegal. 
Nenhuma ação adicional contra o responsável pelo tratamento foi 
considerada necessária em relação à reclamação do titular dos dados.
ESTUDO DE CASO 120
Processamento leal de dados pessoais
(Lei Aplicável — GDPR e Lei de Proteção de Dados de 2018)
Um titular de dados apresentou uma reclamação à Comissão de 
Proteção de Dados (DPC) contra o seu empregador (responsável 
pelo tratamento de dados) relativamente ao tratamento dos seus 
dados pessoais ao abrigo do Regulamento Geral de Proteção de 
Dados (RGPD). O titular dos dados explicou à DPC que os 
detalhes de um assunto confidencial como parte de uma 
referência foram fornecidos a um terceiro (um potencial 
empregador). Antes de contactar a DPC, o titular dos dados 
contactou o responsável pelo tratamento para responder às suas 
preocupações, pois considerava que os seus dados pessoais 
tinham sido tratados ilegalmente; no entanto, não receberam 
uma resposta satisfatória à sua reclamação.
mencionou que o responsável pelo tratamento dos dados divulgou 
um assunto confidencial na referência fornecida ao potencial 
empregador.
Como parte da sua análise, a DPC contactou o responsável pelo 
tratamento dos dados e partilhou os detalhes da reclamação do 
titular dos dados. O responsável pelo tratamento respondeu à 
DPC e explicou que se baseia no consentimento e no interesse 
legítimo para divulgar o assunto confidencial. O responsável pelo 
tratamento sublinhou que, ao equilibrar os direitos do titular dos 
dados com os interesses do terceiro (e daqueles a quem presta 
cuidados), determinou que tinha o dever de diligência para 
garantir que o destinatário da referência (potencial empregador) 
recebesse um referência verdadeira, precisa, justa e relevante 
para a função a que o titular dos dados se candidatou.
A DPC observa que o fornecimento de uma referência sobre um 
funcionário de um empregador atual/antigo a um terceiro, como 
um potencial empregador, geralmente envolverá a divulgação 
de dados pessoais. O titular dos dados
O responsável pelo tratamento dos dados ficou satisfeito com o facto de 
os dados terem sido tratados de forma justa e transparente. Afirmou 
ainda que, devido à natureza do emprego, tinha uma
OBJEÇÃO AO PROCESSAMENTO 101
dever de cuidado não apenas com as pessoas que apoiam, os 
funcionários, mas também com os potenciais empregadores que 
prestam serviços de apoio à mesma categoria de clientes.
É importante considerar se o estatuto do responsável pelo tratamento 
dos dados, as obrigações legais ou contratuais aplicáveis (ou outras 
garantias feitas no momento da recolha) podem dar origem a 
expectativas razoáveis de confidencialidade mais rigorosa e 
limitações mais rigorosas à utilização posterior. A DPC levou em 
consideração se o responsável pelo tratamento dos dados poderia ter 
alcançado o mesmo resultado sem divulgar os detalhes confidenciais