O Regulamento Geral de Proteção de Dados (RGPD) [ou “General Data Protection Regulation” (GDPR)] – entrou em vigor no dia 24 de abril de 2016, mas passou a ser aplicável a 25 de maio de 2018. Trata-se de uma moldura legal que abrange todos os Estados-membros e qualquer outro país que disponibilize produtos ou serviços a cidadãos europeus.
Na prática, qualquer empresa com sede da União Europeia (UE) ou fora dela que, no contexto das atividades que exerce (mesmo que de forma gratuita), trate de dados pessoais de cidadãos residentes no espaço europeu, recolhidos por meios automatizados (ou não automatizados), fica obrigada a prestar contas sobre todas as ações que envolvem esse tratamento e sobre as políticas de privacidade dadas às pessoas que os forneceram.
A nova legislação tem, assim, como principal objetivo proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados – razão pela qual vem alterar significativamente as obrigações das empresas que lidam com este tipo de informação. Em causa, aumentar a privacidade dos cidadãos, mas também:
- Assegurar o respeito pelo direito fundamental de cada pessoa à privacidade dos seus dados;
- Proteger os cidadãos da UE num contexto de economia global;
- Dar aos cidadãos o total controlo sobre os seus dados pessoais;
- Harmonizar a legislação existente nos Estados-membros;
- Travar o crescimento das fugas de informação online, perda de dados confidenciais e ciberataques;
- Reforçar a proteção dos sistemas empresariais.
RGPD: o que é e o que muda para si
O RGPD vem substituir a Diretiva 95/46/CE, datada de 1995 (transposta para a ordem jurídica portuguesa pela Lei n.º 67/98) e a subsequente, relativa à Proteção de Dados Pessoais, de 2003.
Além de exigir que a obtenção de consentimento por parte do titular dos dados – para receber qualquer tipo de comunicação ou para processamento de dados pessoais por parte de uma empresa -, seja um processo totalmente claro e transparente, as principais novidades em relação à legislação anterior são as seguintes:
- O titular tem o direito de “ser esquecido”;
- Tem o direito de informação;
- Tem o direito de acesso;
- Tem o direito de retificação;
- Tem o direito à limitação e oposição de tratamento;
- Tem o direito de portabilidade;
- Tem o direito de não ficar sujeito a decisões individuais automatizadas.
Além do consentimento, estes novos direitos dos titulares dos dados representam uma mudança muito significativa em relação à anterior diretiva comunitária, que, recorde-se, esteve em vigor nas últimas duas décadas.
Por que razão (ou razões) esta mudança era necessária?
A diretiva comunitária em vigor antes do RGPD foi criada antes da era das redes sociais ou mesmo antes do mundo se ter tornado cada vez mais global e ligado à rede. 1995 foi o ano em que a Microsoft apresentou o Internet Explorer 1 ou que a Amazon e o eBay foram fundados. O número de utilizadores da Internet rondava os 16 milhões.
Num processo de aceleração histórica, e já em 2018, há mais de 3,7 mil milhões de utilizadores. Os dispositivos móveis – smartphone, tablet, smartwatch, laptop, entre um sem número de outros gagdets – já funcionam como uma extensão dos corpos, tal é a necessidade da ligação à rede – do acesso, do contacto, da exposição, do consumo, da comunicação.
A dimensão desta transformação cultural teve, necessariamente, um enorme impacto sócio-económico. Na sociedade digital, o acesso facilitado aos cidadãos passou a valer ouro no mundo empresarial. Conscientes de que os seus clientes partilham da necessidade de estarem sempre conectados, as empresas são as principais interessadas em perceber quem são ou quais são as tendências comportamentais que os seus targets têm online.
O novo Regulamento Geral de Proteção de Dados veio relançar a discussão em torno da proteção dos dados pessoais, mas, também, em torno das questões da privacidade, fomentando o pensamento crítico sobre a forma como os cidadãos disponibilizam os seus dados e como muitas vezes não têm conhecimento dos seus direitos.
Disponibilizam-se dados pessoais – nome, morada, endereço de e-mail, contactos telefónicos, localização, fotografias, detalhes de cartões de crédito, entre outros – e aceitam-se, acriticamente, termos e políticas de privacidade confusas em prol do acesso a conteúdos e serviços.
Por um lado, a partilha deste tipo de dados serve para se criarem relações com as organizações com as quais se interage. Por outro, se este tipo de informação cair nas mãos erradas pode ser utilizada para um sem número de atividades fraudulentas, inclusive para o roubo de identidade.
Não será também excessivo afirmar que uma das principais “lacunas” da anterior diretiva prendia-se com a falta de métrica em relação à aplicação das regras da proteção de dados. Cada Estado-membro interpretava essas mesma regras à sua maneira quando as transformavam em legislação local.
A natureza do RGPD tem, assim, por finalidade reforçar a Proteção de Dados, prevista no art.º 8.º da Carta dos Direitos Fundamentais da União Europeia, e harmonizar a legislação existente nos Estados-membros, criando as bases para o mercado único digital.
O RGPD é, assim, uma medida essencial para reforçar os direitos fundamentais dos cidadãos na era digital e facilitar a atividade comercial através da simplificação das normas aplicáveis às empresas no mercado único digital.
A introdução de um ato legislativo único acabará também com a fragmentação e os dispendiosos encargos administrativos que existem atualmente. A este propósito, a UE acredita que o novo quadro legislativo vai economizar, coletivamente, 2,3 mil milhões de euros por ano.
RGPD: o que é e o que muda para as empresas?
O processo de conformidade com a nova legislação está a exigir das empresas um esforço considerável em termos de compliance com as novas regras. Além de estarem obrigadas a rever uma série de medidas organizacionais, técnicas/tecnológicas e de processamento de dados – para não falar no investimento financeiro que a conformidade implica -, há, também, um trabalho de mindset dos seus colaboradores que terá, obrigatoriamente, de ser levado a cabo.
De entre um conjunto vasto de medidas, as empresas terão de, por exemplo:
- Adotar mecanismos de segurança dos dados pessoais dos seus clientes;
- Proporcionar formação aos funcionários acerca das normas do RGPD;
- Avaliar a necessidade/obrigatoriedade de nomeação de um Encarregado de Proteção de Dados (EPD) [Data Protection Officer (DPO)], figura responsável por gerir o processo de conformidade dentro da empresa;
- Mapear e categorizar os dados pessoais recolhidos e tratados;
- Criar automatismos que simplifiquem a conformidade com o Regulamento;
- Comunicar às autoridades reguladoras e aos respetivos titulares dos dados a ocorrência de incidentes de violação de dados, no prazo de 72 horas, após ser conhecida uma falha de segurança.
O tipo e a quantidade de dados pessoais que uma empresa pode tratar dependem do motivo pelo qual estão a efetuar o tratamento (motivo jurídico) e da finalidade do mesmo. A empresa deve respeitar várias regras fundamentais, nomeadamente:
1. Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados.
2. Devem existir finalidades específicas para o tratamento dos dados e a empresa deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais.
3. Uma empresa não pode simplesmente recolher dados pessoais para fins indefinidos.
4. A empresa deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade.
5. A empresa deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique.
6. A empresa não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha.
7. A empresa deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos.
8. A empresa deve instalar garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.
Veja também: