É já no próximo dia 25 de maio que o Regulamento Geral sobre a Proteção de Dados entra em vigor, visando garantir a proteção das pessoas singulares relativamente ao tratamento de dados pessoais como um direito fundamental.
Assim, ainda que as pessoas singulares forneçam os dados pessoais, são sempre estas as proprietárias dos dados que fornecem e não a entidade a quem os fornecem.
Com a aplicação do Regulamento (EU) 2016/679 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, pretende-se evitar situações de risco sério de violação da proteção de dados, dando igualmente resposta aos desafios que o mundo digital coloca à proteção de dados.
Na iminência da aplicação da nova legislação, a Comissão Europeia adotou orientações para as autoridades nacionais de proteção de dados, as administrações nacionais e as empresas no sentido de estarem preparadas para a sua exequibilidade
Melhores regras de proteção de dados significam também uma maior segurança. Se os dados pessoais detidos por uma empresa forem expostos devido a um ciberataque, a empresa deverá informar as autoridades e os utilizadores dentro de 72 horas.
Regulamento Geral de Proteção de Dados (RGPD)
Das novas regras destaca-se a garantia da continuação da proteção de dados sempre que os pessoais atravessarem fronteiras. Se uma empresa recolher dados na Europa, terá de respeitar as normas europeias se os analisar no estrangeiro. Este fator é essencial num mundo global.
De destacar que as organizações devem estar devidamente consciencializadas para a integração de uma nova figura no respetivo organigrama – o Encarregado de Proteção de Dados (EPD) – que desde o início terá um papel preponderante ao garantir que a organização cumpre todas as obrigações legais desde o início da aplicação do Regulamento.
Refira-se que o RGPD revogou a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24.10.1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Destinatários do Regulamento
As novas regras constantes do Regulamento Geral aplicam-se a todas as entidades, coletivas ou singulares, públicas ou privadas, que façam o tratamento de dados pessoais, ou seja, que realizem operações que envolvam dados pessoais, sejam aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam essas operações em regime de subcontratação.
Assim, o RGPD aplica-se ao tratamento de dados pessoais fornecidos através de uma aplicação, de um computador, de um formulário, de todo o meio que solicite a inserção de dados pessoais de uma pessoa singular.
Âmbito de aplicação territorial
O Regulamento Geral de Proteção de Dados será aplicado em todo o território da União Europeia.
Definição de dados pessoais
A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica. Para além disso, passa a existir uma definição do que é a “definição de perfis”, “pseudonimização”, “dados genéticos”, “dados biométricos” e “dados relativos à saúde”.
Nos termos do RGPD, é toda a informação respeitante a uma pessoa singular que permita a sua identificação ou potencial identificação, ou seja, elementos como o nome, um número de identificação (civil, fiscal), dados de localização, dados económicos, físicos, genéticos da pessoa singular.
Tratamento de dados pessoais dos menores
Caso a Criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. Os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos referidos, desde que não seja inferior a 13 anos.
Licitude do tratamento de dados
O tratamento só é lícito se e na medida em que se verifique, pelo menos, uma das seguintes situações: existe consentimento do titular dos dados; é necessário para a execução de um contrato no qual o titular dos dados é parte; é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; é necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; é necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública; é necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros.
O consentimento
Segundo o RGPD, trata-se de uma manifestação de vontade, que deve ser livre, específica, informada e explícita. Essa manifestação de vontade representa a aceitação, que deve ser uma ação positiva, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. Assim sendo, o consentimento tácito é considerado inválido.
O Encarregado da Proteção de Dados
E ser designado um Encarregado da Proteção de Dados quando:
– o tratamento for efetuado por uma autoridade ou um organismo público;
– as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala;
– as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados.
Para todas as entidades públicas, passa a ser obrigatório ter um encarregado da proteção de dados, que assegura o cumprimento da legislação. No setor privado, também, nos casos em que o tratamento de dados seja de maior complexidade e risco. As entidades deixam de submeter o tratamento de dados a controlo prévio da Comissão Nacional de Proteção de Dados (CNPD).
Obrigações em caso de violações de dados pessoais
O responsável pelo tratamento notifica a autoridade de controlo competente da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma. Se este prazo não for cumprido, a notificação à autoridade de controlo deve ser acompanhada dos motivos do atraso. O subcontratante deve notificar o responsável pelo tratamento sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.
Quaisquer violações de dados pessoais devem ser documentadas, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparações adotada.
Sempre que a violação dos dados pessoais for suscetível de implicar um elevado risco para os titulares dos dados, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada, descrevendo em linguagem clara e simples a natureza da violação dos dados pessoais.
Direito ao apagamento dos dados (“direito a ser esquecido”)
O RGPD consagra o direito ao apagamento dos dados (“direito a ser esquecido”), pelo que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.
Regras de segurança dos dados pessoais
O RGPD obriga a que o responsável pelo tratamento e o subcontratante apliquem medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado, designadamente através da:
– Pseudonimização e cifragem dos dados pessoais;
– Capacidade de assegurar a confidencialidade, integridade e disponibilidade permanentes dos sistemas e dos serviços de tratamento;
– Capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.
O responsável pelo tratamento e o subcontratante devem ter um processo que permita testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
Registos das atividades de tratamento
Passa a ser obrigatório que cada responsável pelo tratamento e subcontratante conserve um registo de todas as atividades de tratamento sob a sua responsabilidade, do qual deverão constar um conjunto específico de informações devidamente definido no RGPD.
Sanções
Devido à sua natureza, o RGPD só pode definir coimas, ou seja, sanções pela prática de contraordenações. Assim, ainda que o Regulamento venha revogar a Lei da Proteção de Dados – Lei nº67/98, de 26.10 -, as normas que respeitam à relevância e enquadramento penal de certos incumprimentos continuarão em vigor até ser aprovada nova legislação.
As coimas previstas podem chegar aos 20 milhões de euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
Para qualquer esclarecimento adicional não hesite em contactar-nos.
Texto elaborado a 21 de Março de 2018 por Boletim do Contribuinte.
