2016/05/05

O Novo Regulamento Geral de Proteção de Dados Pessoais, em 3 minutos!

Marco Alexandre Saias apresenta as novidades que este regulamento traz, nomeadamente o facto de todo o espaço da UE passar agora a ter um ordenamento comum nesta matéria.
Segundo o associado, as alterações serão significativas.

Desde o dia 04 de Maio que a União Europeia tem um novo quadro normativo para a proteção de dados.

Contrariamente ao que existe atualmente, em que existem 28 legislações diferentes, que entravam não apenas o desenvolvimento dos negócios mas igualmente a possibilidade de exercício dos direitos dos titulares dos dados, todo o espaço da UE passará agora a ter um ordenamento comum nesta matéria.

As coisas vão mesmo mudar. Bastante. Eis algumas das novidades:

1. SANÇÕES...?

O Regulamento devido à sua natureza só pode definir coimas, ou seja, sanções contraordenacionais. Significa isto que, ainda que o Regulamento venha revogar a Lei de Proteção de Dados, as normas quanto aos crimes continuarão em vigor até ser aprovada nova legislação.

As coimas podem chegar aos €20.000.000,00, ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

2. A QUEM SE APLICA?

O Regulamento aplica-se a todas as entidades que tratem dados pessoais, ou seja, que realizem operações que envolvam dados pessoais. Estas entidades podem ser aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam essas operações em regime de subcontratação.

3. ONDE SE APLICA?

Em todo o território da União Europeia. Mas aqui há uma novidade: se uma empresa estabelecida fora do espaço da UE e sem presença na UE oferecer serviços e faça negócios que envolvam algum género de tratamento de dados pessoais, o Regulamento é-lhe aplicável.

4. EXISTEM NOVIDADES NAS DEFINIÇÕES?

A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica. Para além disso, passa a existir uma definição do que é a "definição de perfis", "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".

5. E OS MENORES?

Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança.

Porém, os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos.

6. QUANDO É QUE OS TRATAMENTOS SÃO LICITOS?

O Regulamento é claro. O tratamento é lícito quando:

a) Há consentimento do titular dos dados;

b) É necessário para a execução de um contrato no qual o titular dos dados é parte;

c) É necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d) É necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) É necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública;

f) É necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros.

7. O QUE SIGNIFICA CONSENTIMENTO NO REGULAMENTO?

O Regulamento define consentimento como uma manifestação de vontade, que deve ser livre, específica, informada e explícita. Essa manifestação de vontade representa a aceitação, que deve ser uma ação positiva, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Significa isto que o consentimento tácito é expressamente considerado como inválido.

8. TEMOS DE CONTRATAR UM "ENCARREGADO DA PROTEÇÃO DE DADOS" (DATA PROTECTION OFFICER)?

Deve ser designado um Encarregado da Proteção de Dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados.

9. TEMOS DE EFETUAR UMA AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS?

Depende. Se o tipo de tratamento, nomeadamente quando utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os titulares dos dados, deve ser efetuada uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais.a)

A avaliação é obrigatória caso ocorram:

a) Avaliações sistemáticas e completas dos aspetos pessoais, baseada no tratamento automatizado, incluindo a definição de perfis;

b) Operações de tratamento em grande escala de categorias especiais de dados; ou,

c) Controlos sistemáticos de zonas acessíveis ao público em grande escala,

Esta avaliação a ser efetuada antes de iniciar o tratamento deve conter uma descrição sistemática das operações de tratamento previstas e quais as finalidades e fundamentos dos tratamentos, bem como, a avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos, dos riscos para os titulares dos dados e das medidas previstas para fazer face a esses mesmos riscos.

10. QUAIS AS OBRIGAÇÕES EM CASO DE VIOLAÇÔES DE DADOS PESSOAIS?

O responsável pelo tratamento notifica a autoridade de controlo competente da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma. Caso estes prazo não seja cumprido, a notificação à autoridade de controlo deve ser acompanhada dos motivos do atraso.

Já o subcontratante deve notificar o responsável pelo tratamento sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.

Quaisquer violações de dados pessoais devem ser documentadas, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada.

Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os titulares dos dados, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada, descrevendo em linguagem clara e simples a natureza da violação dos dados pessoais e fornecendo as informações e recomendações previstas no Regulamento.

11. E O DIREITO AO ESQUECIMENTO?

O Regulamento consagra o Direito ao Apagamento dos Dados ("direito a ser esquecido"), significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.

12. EXISTEM REGRAS QUANTO À SEGURANÇA DOS DADOS PESSOAIS?

Sim, o Regulamento obriga a que o responsável pelo tratamento e o subcontratante apliquem medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado, nomeadamente através da:

a) A pseudonimização e a cifragem dos dados pessoais;

b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.

O responsável pelo tratamento e o subcontratante devem ter um processo que permita testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento, o que vai implicar nomeadamente, que muitas entidades necessariamente se certifiquem, nomeadamente, a nível da ISO27001.

13. COMO FICAM OS SUBCONTRATANTES NO REGULAMENTO?

Os subcontratantes terão obrigações e responsabilidade diretas, o que significa que os subcontratantes podem ser diretamente responsabilizados.

O tratamento em subcontratação é regulado por contrato que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento.

Os subcontratantes deverão apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do Regulamento.

Para além disso, não poderão contratar outro subcontratante sem que o responsável pelo tratamento tenha dado autorização prévia e por escrito.

14. REGISTOS DAS ATIVIDADES DE TRATAMENTO

Passa a ser obrigatório que cada responsável pelo tratamento e subcontratante conserve um registo de todas as atividades de tratamento sob a sua responsabilidade, do qual deverão constar um conjunto específico de informações devidamente definido no Regulamento.

A Autoridade de Controlo poderá solicitar a disponibilização desses registos para verificação.

15. TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS

As regras relativas às transferências de dados pessoais para um país terceiro são reforçadas.

Na ausência de uma decisão de adequação do nível de proteção, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

O Regulamento elenca um conjunto de elementos que podem ser utilizados para prever as garantias adequadas, sem requerer nenhuma autorização específica de uma autoridade de controlo, nomeadamente, regras vinculativas aplicáveis às empresas, cláusulas-tipo de proteção de dados adotadas pela Comissão, códigos de conduta devidamente aprovados, processo de certificação aprovado.

16. HÁ MAIS NOVIDADES?

Sim. O Regulamento traz outros direitos e obrigações, por exemplo:

a) Portabilidade dos Dados: em determinadas situações o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento e o direito de transmitir esses dados a outro responsável pelo tratamento;

b) Proteção de Dados desde a Conceção e Por Defeito: o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito, podendo tais medidas incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados pessoais, encriptação, etc.

c) Mecanismo de Balcão Único: tendencialmente os responsáveis pelo tratamento e subcontratantes terão apenas que comunicar com a autoridade de controlo principal. Porém, as autoridades de controlo locais continuam a ter poderes em vários sectores, e irão colaborar com as principais em investigações.

17. QUANDO ENTRA EM VIGOR?

O Regulamento aplica-se em toda a UE a partir de 25 de maio de 2018. Contudo, após a publicação, as entidades devem começar o processo de adaptação ao mesmo.