• o modelo de múltiplos consentimentos prévios — abrangendo já a equipa do outro projeto, a finalidade e as demais informações necessárias ao participante; ou
• o modelo de consentimento dinâmico.
Neste último caso, ao participante devem ser prestadas apenas as informações complementares em falta relativamente à nova reutilização, permitindo-lhe decidir, nesse momento, se consente ou não na utilização dos seus dados. Essas informações são:
a) Quem é responsável pelo tratamento, i.e., a instituição que determina a finalidade e os meios do tratamento desses dados, sendo, geralmente, a instituição onde o projeto está sediado; ou, no caso de responsabilidade conjunta, quem são os responsáveis pelo tratamento. E ainda, breve identificação do projeto de investigação, identificação do investigador e os seus contactos institucionais.
b) Os contactos do Encarregado de Proteção de Dados da instituição.
c) A base legal do tratamento dos dados, especificando que se trata do consentimento do participante, nos termos do artigo 6.º, n.º 1, alínea a) do RGPD; no caso de categorias especiais de dados (dados sensíveis), deve referir-se ainda o artigo 9.º, n.º 2, alínea a).
d) A finalidade da recolha, ou seja, para que fins os dados vão ser utilizados; essa finalidade deve ser específica, explícita e legítima. Em projetos exploratórios, onde não se mostra possível definir de antemão uma finalidade específica, a finalidade pode ser definida de forma mais ampla. Em qualquer caso, devem ser respeitados os padrões éticos reconhecidos pela comunidade científica, mantendo os participantes informados à medida que a finalidade da investigação se clarifica. Sempre que houver alterações relevantes, os participantes devem receber informação atualizada para poderem exercer, de forma informada, os seus direitos.
e) Os destinatários, isto é, se os dados serão partilhados com outras entidades ou categorias de entidades, designadamente a subcontratantes (prestadores de serviços) ou a quaisquer outras entidades, e com que finalidade;
f) Se houver recolha de dados fora do Espaço Económico Europeu (EEE), ou transferência para fora do EEE, deve ser indicado o país e/ou organização de origem ou destino, e se existe ou não uma “decisão de adequação” da Comissão Europeia. Caso não exista uma decisão de adequação, deve ser verificada a existência de garantias adequadas, designadamente: cláusulas contratuais-tipo de proteção de dados ou outros mecanismos previstos no art. 46.º RGPD. Nesse caso o consentimento deve fazer referência às garantias adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas. Na ausência de garantias adequadas, o consentimento deve ser explícito e informar o participante dos riscos dessas transferências, devido à falta de decisão de adequação e garantias adequadas, conforme indicado no Nó Transferências Internacionais.
g) Os direitos do participante, e os meios para o seu exercício — normalmente exercidos através de um endereço de email criado pela equipa do projeto. Estes incluem o direito de acesso, retificação, apagamento, retirada do consentimento a qualquer momento, limitação do tratamento e o direito a apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD); se os dados forem recolhidos por meios automatizados (e.g., através de um formulário online), o participante tem ainda o direito de portabilidade dos dados;
h) Se existirem decisões tomadas exclusivamente de forma automatizada, sem intervenção humana significativa (isto é, com recurso a algoritmos ou sistemas de computador), deve ser indicado:
- que essas decisões existem e em que situações são aplicadas;
- a lógica subjacente, entendida como a explicação dos critérios ou fatores principais que influenciam a decisão exclusivamente automatizada, de forma inteligível para o participante, ainda que sem necessidade de divulgar código-fonte, fórmulas complexas ou informação proprietária;
- a importância e as consequências previstas de tal tratamento para o titular dos dados.
i) O prazo de conservação dos dados ou, se não for possível, os critérios usados para defini-lo, e o destino após esse período (eliminação ou anonimização irreversível).
j) Se além dos dados a recolher junto do participante, vão ser recolhidos informações pessoais acessíveis publicamente (como redes sociais)?
k) Quaisquer outros riscos associados ao tratamento, descritos de forma clara e compreensível.
Há casos, porém, em que os dados não foram recolhidos com base em consentimento, mas sim com outro fundamento legal. Por exemplo, num estudo institucional que reutiliza dados pessoais de funcionários, inicialmente recolhidos no âmbito da sua relação contratual de trabalho. Nestas situações, que se enquadram na possibilidade de tratamento posterior, prevista no n.º 4 do art.º 6.º do RGPD, deve assegurar-se que os participantes já foram ou serão informados sobre o novo tratamento e a sua finalidade. A informação deve ser prestada o mais rapidamente possível e, no máximo, um mês após o início do novo tratamento. Deve incluir todos os elementos indicados nas alíneas a-k e, adicionalmente:
i. A base de licitude, indicando tratar-se de tratamento posterior para efeitos de investigação científica, nos termos do artigo 6.º, n.º 4, do RGPD (em vez do consentimento referido no ponto 1.1.c)).
ii. A origem dos dados pessoais, isto é, como foram inicialmente obtidos;
iii. As categorias de dados pessoais em questão (por exemplo, dados identificativos, dados sociodemográficos, entre outros);
iv. Os direitos do titular dos dados. Além dos referidos no ponto 1.1, deve ser incluído o direito de oposição. (Na medida em que a base legal para o novo tratamento não é consentimento, o direito de retirar o consentimento não se aplica.)