19 ABRIL, 2022

Como se faz um pedido de acesso a dados?

É um dos direitos mais antigos do titular dos dados e permite-lhe saber como os seus dados estão a ser tratados. Saiba como pode exercê-lo.

Artigo da série

19 ABRIL, 2022

Como se faz um pedido de acesso a dados?

É um dos direitos mais antigos do titular dos dados e permite-lhe saber como os seus dados estão a ser tratados. Saiba como pode exercê-lo.

Artigo da série

Por Inês Rocha (Jornalista)

19 abril, 2022

  1. Em que consiste?
  2. Como pode pedir os seus dados?
  3. Por onde começar?
  4. E se o pedido for por e-mail?
  5. O que é necessário para fazer o pedido?
  6. Quanto tempo demora?
  7. O que acontece depois de fazer o pedido?

Sabia que os seus dados pessoais são mesmo seus e que tem o direito de lhes aceder sempre que quiser? Que quando é contactado por determinada empresa, por exemplo, tem o direito de questionar como esta teve acesso aos seus dados pessoais? Ou que, se tem dúvidas sobre como determinada entidade trata os seus dados, esta tem obrigação de lhe explicar?

Em que consiste o direito de acesso?

O direito de acesso, previsto no Regulamento Geral de Proteção de Dados (RGPD), é um dos direitos mais antigos do titular dos dados pessoais. Está mesmo inscrito na Constituição Portuguesa desde que ela foi criada: “todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua retificação e actualização, e o direito de conhecer a finalidade a que se destinam, nos termos da lei”.

Se quiser saber que dados determinada entidade trata sobre si, pode exercer este direito e questioná-la diretamente.

Como pode pedir os seus dados?

Normalmente, a política de privacidade de cada empresa explica como o titular dos dados pode exercer os seus direitos, previstos no RGPD.

A maioria das vezes, o pedido deve ser feito por e-mail. Outras vezes, a empresa disponibiliza um formulário no seu site, onde pode fazer diretamente o pedido.

Há ainda muitas empresas a disponibilizar uma forma automática para o utilizador descarregar os seus dados. Ainda assim, tem o direito de questionar diretamente a empresa sobre os tratamentos feitos, caso não se sinta esclarecido.

Por onde começar?

Os pedidos mais fáceis de fazer são os automáticos: basta ir à página criada para o efeito, fazer “download” e verificar que dados seus determinada empresa tem na sua posse. Estas são algumas das maiores empresas com pedidos automáticos disponíveis:

E se o pedido for por e-mail?

Nesse caso, deve procurar o endereço de e-mail na política de privacidade da entidade em questão. Habitualmente, há um contacto do encarregado de proteção de dados ou um e-mail genérico para pedidos de acesso.

Estes modelos indicam tudo o que pode pedir às entidades num pedido de acesso, em português e inglês. Pode adaptar o pedido conforme o propósito:

Gerar pedido

Ex.mo Sr. Encarregado de Proteção de Dados: Eu, __________, com o NIF número , email __________ venho solicitar o acesso aos meus dados pessoais, ao abrigo do artigo 15.º da Lei 59/2019:

  • Cópia de todos meus dados processados pela vossa empresa
  • Informação detalhada dos usos específicos que fizeram, fazem ou irão fazer dos meus dados pessoais
  • Categorias dos dados pessoais tratados
  • Prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo
  • Se há lugar a criação de perfis automatizados e, caso haja, qual a lógica subjacente. Qual o perfil a que estou associado e com base em que dados?
  • Uma lista das entidades terceiras a quem os meus dados tenham sido comunicados e com que fim
  • Se os meus dados pessoais são transferidos para países ou organizações internacionais fora do Espaço Económico Europeu, que garantias existem para que os dados pessoais continuem a usufruir de um nível de proteção adequado após a transferência internacional.

Agradeço que o pedido seja respondido por via eletrónica, para este e-mail, no prazo legal de 30 dias.

Com os melhores cumprimentos,
__________

Ex.mo Sr. Encarregado de Proteção de Dados: Eu, __________, venho solicitar o acesso aos meus dados pessoais, ao abrigo do artigo 15.º da Lei 59/2019. Por favor confirme se os meus dados estão a ser tratados e, em caso positivo, forneça os seguintes elementos:

  • Cópia de todos meus dados processados pela vossa empresa
  • No caso de os meus dados não terem sido recolhidos através de mim, todas as informações existentes sobre a sua fonte, como previsto no artigo 14 do Regulamento Geral de proteção de dados
  • Informação detalhada dos usos específicos que fizeram, fazem ou irão fazer dos meus dados pessoais
  • Categorias dos dados pessoais tratados
  • Prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo
  • Se há lugar a criação de perfis automatizados e, caso haja, qual a lógica subjacente. Qual o perfil a que estou associado e com base em que dados?
  • Uma lista das entidades terceiras a quem os meus dados tenham sido comunicados e com que fim
  • Se os meus dados pessoais são transferidos para países ou organizações internacionais fora do Espaço Económico Europeu, que garantias existem para que os dados pessoais continuem a usufruir de um nível de proteção adequado após a transferência internacional.

Agradeço que o pedido seja respondido por via eletrónica, para este e-mail, no prazo legal de 30 dias.

Com os melhores cumprimentos,
__________

Dear Sir or Madam,

RE: SUBJECT ACCESS REQUEST

I am writing to formally make a Subject Access Request for evidence of information that you hold about me to which I am entitled under the General Data Protection Regulation and the Data Protection Act 2018. You can identify my records using the following information:

Full Name: __________

Email address: __________

Please supply the data about me that I am entitled to under data protection law including:

  1. a copy of my personal data that you have or are processing
  2. a detailed account of the specific uses that you have made, are making, or will be making of my personal data
  3. the purposes of the processing
  4. the categories of personal data concerned
  5. a list of all third parties with whom you have (or may have) shared my personal data
  6. where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period
  7. the existence of automated decision-making, including profiling, and at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for me
  8. the safeguards you provide if you transfer my personal data to a third country or international organization
  9. In addition, I would like to know whether or not my personal data has been disclosed inadvertently by your company in the past, or as a result of a security or privacy breach.

If you need any more information from me, or a fee, please let me know as soon as possible.

Please note that I have the right to receive this information in a standardized format within 30 days of your receipt of this request.

Yours faithfully,
__________

To whom it may concern:

I am writing to obtain the following information that I am entitled to receive pursuant to Article 15 of the General Data Protection Regulation (GDPR). Please confirm as to whether or not my personal data is being processed, and, where that is the case, please provide the following information:

  1. a copy of my personal data that you have or are processing
  2. a detailed account of the specific uses that you have made, are making, or will be making of my personal data
  3. the purposes of the processing
  4. the categories of personal data concerned
  5. a list of all third parties with whom you have (or may have) shared my personal data
  6. where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period
  7. where the personal data are not collected from me, any available information as to their source, as referred to in Article 14 of the GDPR
  8. the existence of automated decision-making, including profiling, and at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for me
  9. the safeguards you provide if you transfer my personal data to a third country or international organization
  10. In addition, I would like to know whether or not my personal data has been disclosed inadvertently by your company in the past, or as a result of a security or privacy breach.
  11. Please note that I do not consent to any personal information which is part of this request, including my email address and name, to be used for any purpose other than fulfilling this request.

Please note that I have the right to receive this information in a standardized format within 30 days of your receipt of this request.

Please use the following information to identify me in your systems:
__________

Kind regards,
__________

O que é necessário para fazer o pedido?

Habitualmente, basta fazer o pedido. No entanto, o RGPD prevê que “quando o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido(...), pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados”.

Para este efeito, há quem peça ao titular que confirme algum dado pessoal adicional. Há ainda quem peça formulários com assinatura digital e quem peça cópias de documentos de identificação.

Quanto tempo demora?

As entidades que tratam os seus dados são obrigadas, por lei, a dar resposta no prazo de um mês. Caso o pedido seja “de especial complexidade” para a empresa, esta pode prorrogar o prazo por mais dois meses - mas tem de informar o titular dos dados dos motivos da demora.

O que acontece depois de fazer o pedido?

Uma investigação da Renascença fez mais de 70 pedidos de acesso a dados e mostra-lhe os resultados.

Como se faz um pedido de acesso a dados?