Regulamento de proteção de dados: 10 perguntas e respostas

O novo Regulamento Geral de Proteção de Dados, que define a nova legislação de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à sua livre circulação da União Europeia, teve a sua aplicação efetiva no dia 25 de maio de 2018.

Já considerado um marco da nova era de produção legislativa em matéria de privacidade, o Regulamento visa reforçar a salvaguarda dos direitos fundamentais dos cidadãos no que toca à proteção dos seus dados pessoais.

Preparamos para si um conjunto de perguntas e respostas para esclarecer eventuais dúvidas sobre o assunto, mas, sobretudo, informá-lo de que existem direitos que nos assistem enquanto cidadãos europeus e que os mesmos terão que ser acautelados pelas entidades que tratam os nossos dados pessoais.

Regulamento de proteção de dados: perguntas e respostas

1. Em que consiste o novo Regulamento de Proteção de Dados?

O novo Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (GDPR) é a nova legislação da União Europeia que se aplica a todos os Estados-membros e a qualquer empresa ou organização que efetue tratamento de dados pessoais de cidadãos europeus.

Tem como objetivo assegurar que o direito dos cidadãos à proteção de dados pessoais é respeitado. Para tal, visa garantir aos cidadãos que lhes é possível controlar os seus dados pessoais para, assim, se criar uma maior relação de confiança com as organizações que tratam os seus dados.

2. A quem se aplica?

A todos aqueles que tratem dados de cidadão europeus, seja no âmbito da comercialização de bens ou serviços ou de outras atividades, mesmo que o façam de forma gratuita. Ou seja, abrange todas as organizações que tratem estes dados, quer tenham sede na União Europeia ou sede no exterior.

O RGPD tem de ser cumprido por empresas ou organizações quer do setor privado, quer do setor público, sejam estas grandes instituições ou, por exemplo, pequenas plataformas de e-commerce.

3. O que se entende por “dados pessoais”?

O RGPD considera que são quaisquer dados que, sozinhos ou em conjunto com outros dados, possam ser utilizados para identificar um indivíduo. O novo Regulamento de Proteção de Dados define também o conceito de dados sensíveis, que estão sujeitos a condições específicas para o seu tratamento, nomeadamente direitos e decisões automatizadas. Um exemplo de dados sensíveis serão os dados biométricos.

Define, então, dados pessoais como “…qualquer informação relativa a uma pessoa singular identificada ou identificável ’sujeito de dados’; uma pessoa identificável é aquela que pode ser identificada, directa ou indirectamente, em particular, por referência a um identificador … ou a um ou mais factores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa“.

Refere-se ainda que “…as pessoas singulares podem estar associadas a identificadores online fornecidos pelos seus dispositivos, aplicações, ferramentas e protocolos, tais como endereços de protocolos de Internet, identificadores de cookies ou outros identificadores, tais como etiquetas de identificação por radiofrequência.”

Alguns exemplos de dados pessoais são, então, nome, morada, NIF, número de telefone, email, endereço de IP, dados financeiros, dados de comportamento em páginas da web e outras informações semelhantes.

4. Que direitos são salvaguardados pelo RGDP?

O novo Regulamento Geral de Proteção de Dados veio relançar a discussão em torno da proteção dos dados pessoais, mas, também, em torno das questões da privacidade, fomentando o pensamento crítico sobre a forma como os cidadãos disponibilizam os seus dados e como muitas vezes não têm conhecimento dos seus direitos.

Precisarão mesmo de todos os dados que estão a pedir-me? Quem vai ter acesso? Onde ficam armazenados? Vão ser cedidos/partilhados com terceiros? Durante quanto tempo ficam com os meus dados? O que vão fazer com eles?

A nova legislação exige que a recolha de dados pessoais passe a estar sujeita a regras específicas, cujo objetivo é proteger os cidadãos da sua utilização indevida.

Desde o dia 25 de maio de 2018, sempre que alguma entidade solicitar dados pessoais, deve, por exemplo, garantir o direito de informação do titular dos dados da identidade do responsável pelo tratamento dos dados, da finalidade do tratamento, da base jurídica do tratamento, dos destinatários dos dados, da duração do tratamento, etc.

5. A quem pode recorrer em caso de violação dos seus direitos?

Em Portugal, o cumprimento das disposições do RGPD vai ser controlado e fiscalizado pela Comissão Nacional de Proteção de Dados (CNPD), entidade à qual poderá recorrer para apresentar uma reclamação, no caso de violação dos seus direitos.

No novo Regulamento, surge a figura de Encarregado de Proteção de Dados (EPD) (em inglês, Data Protection Officer), o principal responsável pela conformidade em matéria de proteção de dados. Algumas entidades, mesmo que disponham de serviços de apoio ao cliente ou de tratamento de reclamações, serão obrigadas a designar um EPD, dependendo do tipo de tratamento que efetuem (quando o tratamento for efetuado por uma autoridade ou um organismo público – excetuando os tribunais no exercício da sua função jurisdicional; quando esteja em causa operações de tratamento de dados pessoais que exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou quando se trate de operações de tratamento em grande escala de categorias especiais de dados).

O cidadão poderá, também, ser envolvido quando for detetado um incidente de violação dos seus dados: em alguns casos, quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento é obrigado a comunicar a violação de dados pessoais ao titular dos dados, sem demora injustificada.

6. O que muda com o novo regulamento?

O RGPD vem substituir a Diretiva 95/46/CE, datada de 1995 (transposta para a ordem jurídica portuguesa pela Lei n.º 67/98) e a subsequente, relativa à Proteção de Dados Pessoais, de 2003.

Além de exigir que a obtenção de consentimento (mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca) por parte do titular, para receber qualquer tipo de comunicação ou para processamento de dados pessoais, por parte de uma empresa ou organização, o que muda com esta nova legislação europeia é:

• O cidadão tem o direito de “ser esquecido”;
• Tem de ter acesso facilitado aos dados pessoais utilizados por qualquer entidade;
• Tem o direito a saber quando houve utilização indevida dos seus dados;
• Tem o direito de oposição;
• Tem o direito à proteção dos dados “por design” e “por definição”.

7. E para as empresas?

O processo de conformidade com a nova legislação exigirá das empresas um esforço considerável em termos de compliance com as novas regras.

Além de estarem obrigadas a rever uma série de medidas organizacionais, técnicas e de processamento de dados, há um trabalho de mindset dos seus colaboradores que terá, obrigatoriamente, de ser levado a cabo.

8. Que regras se aplicam às empresas que não estão na União Europeia?

O RGPD é aplicável a todas as empresas ou organizações, sempre que dirijam ofertas e serviços a cidadãos residentes na União Europeia, ou mesmo se tentarem monitorizar os seus comportamentos online.

9. No que é que isto se traduz para os cidadãos?

Os cidadãos passam a beneficiar de mais transparência e clareza em termos das informações que lhes são prestadas sobre os seus dados. Além disso, vêem reforçado o seu direito à oposição ao tratamento.

Acresce ainda o direito à portabilidade, que permite a possibilidade de poder transferir os seus dados para outro prestador de serviços.

10. O que acontece a quem não cumpre?

Se a nova lei não for cumprida, estão previstas sanções severas para os transgressores, que incluem coimas que podem ascender aos 20 milhões de euros, ou 4% do volume de negócios anual.