a) Quem é responsável pelo tratamento, i.e., a instituição que determina a finalidade e os meios do tratamento desses dados, sendo, geralmente, a instituição onde o projeto está sediado; ou, no caso de responsabilidade conjunta, quem são os responsáveis pelo tratamento.
E ainda, breve identificação do projeto de investigação, identificação do investigador e os seus contactos institucionais.
b) Os contactos do Encarregado de Proteção de Dados da instituição.
c) A base legal do tratamento dos dados, especificando que se trata do consentimento do participante, nos termos do artigo 6.º, n.º 1, alínea a) do RGPD; no caso de categorias especiais de dados (dados sensíveis), deve referir-se ainda o artigo 9.º, n.º 2, alínea a).
d) A finalidade da recolha, ou seja, para que fins os dados vão ser utilizados; essa finalidade deve ser específica, explícita e legítima.
Em projetos exploratórios, onde não se mostra possível definir de antemão uma finalidade específica, a finalidade pode ser definida de forma mais ampla. Em qualquer caso, devem ser respeitados os padrões éticos reconhecidos pela comunidade científica, mantendo os participantes informados à medida que a finalidade da investigação se clarifica. Sempre que houver alterações relevantes, os participantes devem receber informação atualizada para poderem exercer, de forma informada, os seus direitos.
e) Os destinatários, isto é, se os dados serão partilhados com outras entidades ou categorias de entidades, designadamente a subcontratantes (prestadores de serviços) ou a quaisquer outras entidades, e com que finalidade;
f) Se houver recolha de dados fora do Espaço Económico Europeu (EEE), ou transferência para fora do EEE, deve ser indicado o país e/ou organização de origem ou destino, e se existe ou não uma “decisão de adequação” da Comissão Europeia. Caso não exista uma decisão de adequação, deve ser verificada a existência de garantias adequadas, designadamente: cláusulas contratuais-tipo de proteção de dados ou outros mecanismos previstos no art. 46.º RGPD. Nesse caso o consentimento deve fazer referência às garantias adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas. Na ausência de garantias adequadas, o consentimento deve ser explícito e informar o participante dos riscos dessas transferências, devido à falta de decisão de adequação e garantias adequadas, conforme indicado no Nó Transferências Internacionais.
g) Os direitos do participante, e os meios para o seu exercício — normalmente exercidos através de um endereço de email criado pela equipa do projeto. Estes incluem o direito de acesso, retificação, apagamento, retirada do consentimento a qualquer momento, limitação do tratamento e o direito a apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD); se os dados forem recolhidos por meios automatizados (e.g., através de um formulário online), o participante tem ainda o direito de portabilidade dos dados;
h) Se existirem decisões tomadas exclusivamente de forma automatizada, sem intervenção humana significativa, abordadas no Nó decisões automatizadas por algoritmos (isto é, com recurso a algoritmos ou sistemas de computador), deve ser indicado:
o que essas decisões existem e em que situações são aplicadas;
o a lógica subjacente, entendida como a explicação dos critérios ou fatores principais que influenciam a decisão exclusivamente automatizada, de forma inteligível para o participante, ainda que sem necessidade de divulgar código-fonte, fórmulas complexas ou informação proprietária;
o a importância e as consequências previstas de tal tratamento para o titular dos dados.
i) O prazo de conservação dos dados ou, se não for possível, os critérios usados para defini-lo, e o destino após esse período (eliminação ou anonimização irreversível).
j) Se além dos dados a recolher junto do participante, vão ser recolhidos informações pessoais acessíveis publicamente (como redes sociais)?
k) Quaisquer outros riscos associados ao tratamento, descritos de forma clara e compreensível.
Adicionalmente, dever-se-á também indicar:
i. A origem dos dados, indicando haver recolha de informação disponível publicamente, e as categorias de dados pessoais em questão (por exemplo, dados identificativos, dados sociodemográficos, entre outros);
ii. A base de licitude, indicando tratar-se de tratamento posterior para efeitos de investigação científica, nos termos do artigo 6.º, n.º 4, do RGPD (em vez do consentimento).
Nos casos que envolvam categorias especiais de dados, e quando os dados tenham sido manifestamente tornados públicos pelo titular – por exemplo opiniões políticas publicadas numa rede social – deve ainda indicar-se o artigo 9.º, n.º 2, alínea e) do RGPD.
iii. Os direitos do titular dos dados. Além dos referidos no ponto nas alíneas a)-k), deve ser incluído o direito de oposição. (Na medida em que a base legal para o novo tratamento não é consentimento, o direito de retirar o consentimento não se aplica.)