O novo Regulamento Geral de Proteção de Dados (RGPD), aplicável desde 25 de maio de 2018, assenta num direito fundamental – consagrado na Carta dos Direitos Fundamentais da União Europeia: a proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais.
As empresas com sede da União Europeia (UE) ou fora dela que, no contexto das atividades que exercem (mesmo que de forma gratuita), tratem de dados pessoais de cidadãos residentes no espaço europeu, recolhidos por meios automatizados (ou não automatizados), ficam obrigadas a cumprir um conjunto de requisitos para proteger eficazmente os dados dos seus clientes.
Se entrarem em incumprimento, as consequências poderão ser devastadoras, não só em termos financeiros – uma vez que as coimas previstas são severas -, mas também no que toca à sua imagem no mercado – e nenhuma empresa deseja ver-se envolvida em processos de quebra de confiança para com os seus clientes.
RGPD: coimas previstas na nova legislação
O Regulamento Geral de Proteção de Dados estabelece um quadro de aplicação de coimas bastante severo para as empresas que não cumprirem os requisitos da nova legislação. As sanções assentam em dois escalões (em função da gravidade), a saber:
- Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado;
- Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais, como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.
No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, como, por exemplo, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados.
Como proceder em caso de incumprimento
O novo Regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.
Procedimentos de comunicação à autoridade de controlo
De acordo com o Artigo 33º do RGPD, em caso de violação de dados pessoais, os procedimentos de comunicação à autoridade de controlo são os seguintes:
1. O responsável pelo tratamento notifica desse facto a autoridade de controlo competente, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
A notificação deve, pelo menos:
- Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
- Comunicar o nome e os contactos do Encarregado de Proteção de Dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
- Descrever as consequências prováveis da violação de dados pessoais;
- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.
3. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.
4. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.
Procedimentos de comunicação ao titular dos dados
Já no que respeita à comunicação ao titular dos dados, os procedimentos são:
1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
2. A comunicação ao titular dos dados descreve, em linguagem clara e simples, a natureza da violação dos dados pessoais e fornece, pelo menos, as seguintes informações:
- Comunicar o nome e os contactos do Encarregado da Proteção de Dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
- Descrever as consequências prováveis da violação de dados pessoais;
- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
3. A comunicação ao titular dos dados não é exigida se for preenchida uma das seguintes condições:
- O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
- O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar;
- Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.
A empresa pode ser responsabilizada por danos causados?
Qualquer cidadão pode exigir ser indemnizado caso uma empresa ou organização tiver infringido o Regulamento Geral sobre a Proteção de Dados e se, por causa disso, tiver sofrido danos patrimoniais (por exemplo, um prejuízo financeiro) ou danos não patrimoniais como, por exemplo, danos à sua reputação ou sofrimento psicológico.
Nestes casos, o RGPD garante que tais danos sejam indemnizados – independentemente do número de organizações envolvidas no tratamento dos dados.
A indemnização pode ser pedida diretamente à organização ou junto dos tribunais nacionais competentes. As ações são intentadas junto dos tribunais do Estado-membro da UE onde o responsável pelo tratamento tem o seu estabelecimento ou onde reside o cidadão que solicita a indemnização.