Com certeza que já ouviu falar do Regulamento Geral de Proteção de Dados (RGPD), entra em vigor em 25 de Maio de 2018 e substitui a atual diretiva e lei de proteção de dados. Este regulamento estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE (e é o mesmo em toda a União Europeia), não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas coletivas.
As regras não se aplicam ao tratamento de dados por motivos exclusivamente pessoais ou no exercício de atividades domésticas, desde que não haja qualquer ligação com uma atividade profissional ou comercial.
Quando uma pessoa utiliza os dados pessoais fora da sua «esfera pessoal», por exemplo para o exercício de atividades socioculturais ou financeiras, a legislação relativa à proteção de dados tem de ser respeitada.
Caso em que o regulamento se aplica:
Uma empresa com um estabelecimento na UE presta serviços de viagens a clientes situados nos países Bálticos e, neste contexto, efetua o tratamento de dados pessoais de pessoas singulares.
Caso em que o regulamento não se aplica:
Uma pessoa utiliza o seu livro de endereços privado para convidar amigos por correio eletrónico para uma festa que está a organizar (exceção para atividades domésticas) – se bem que já se tem levantado dúvidas quanto à partilha de dados de e-mail, por exemplo, entre várias pessoas que não se conheçam, mesmo que em termos pessoais.
Referência: Artigos 1.º e 2.º e considerandos 1, 2, 14, 18 e 27 do RGPD.
Mas então o que o Regulamento considera serem dados pessoais?
São informações relativas a uma pessoa viva, identificada ou identificável. Mas consideram-se dados pessoais um conjunto de informações que podem levar à identificação de uma determinada pessoa, de tal forma que os dados pessoais que tenham sido descaracterizados de alguma forma mas que possam ser utilizados para reidentificar a pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.
O RGPD protege os dados pessoais independentemente da tecnologia utilizada, aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD. Importa salientar que, em alguns casos, existe legislação setorial específica.
Exemplos de dados pessoais:
- o nome e apelido;
- o endereço de uma residência;
- um endereço de correio eletrónico como nome.apelido@empresa.com;
- o número de um cartão de identificação;
- dados de localização (por exemplo, a função de dados de localização num telemóvel);
- um endereço IP (protocolo de internet);
- testemunhos de conexão (cookies);
- o identificador de publicidade do seu telefone;
- os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.
Exemplos de dados não considerados pessoais:
- o número de registo de empresa;
- um endereço de correio eletrónico como info@empresa.com;
- dados anonimizados.
Referências: Artigo 2.º e artigo 4.º, n.os 1 e 5 e considerandos 14, 15, 26, 27, 29, 30 do RGPD / Parecer 4/2007 do Grupo de Trabalho de Proteção de Dados do artigo 29.º sobre o conceito de dados pessoais, 01248/07/PT, WP 136 / Parecer 05/2014 do Grupo de Trabalho de Proteção de Dados do artigo 29.º sobre técnicas de anonimização.
Aqui ficam as ideias principais do regulamento.
- Informação aos titulares dos dados
Deve rever a informação que fornece aos titulares dos dados, por escrito ou por telefone, no âmbito da recolha de dados, seja esta realizada diretamente junto do titular ou não. E se não fornecia tal informação então deve fazê-lo o quanto antes.
O regulamento obriga a prestar mais informações do que atualmente, designadamente a base legal para o tratamento de dados, o prazo de conservação dos dados, informações mais detalhadas sobre as transferências internacionais, a possibilidade de apresentar queixa junto da CNPD.
Dentro das exigências de maior transparência, ter em atenção que as informações devem ser prestadas aos cidadãos de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples.
Deve ser tido particular cuidado quando as informações são dirigidas a crianças. Assim, tem de reformular impressos, políticas de privacidade e todos os textos que prestem informação aos titulares dos dados, ao mesmo tempo que verifica se está efetivamente a fornecer, em todas as situações, a informação exigida por lei.
- Exercício dos direitos dos titulares dos dados
Deve rever os procedimentos de garantia do exercício dos direitos dos titulares dos dados.
Todo o procedimento deve ser documentado.
Os direitos dos titulares foram alargados em relação à atual lei, passando a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação ou apagamento ou limitação de tratamento solicitados pelos titulares.
Assim, a sua organização deve estar preparada para aplicar as novas obrigações, nomeadamente através da manutenção da informação num formato estruturado, de uso corrente e de leitura automática, quando aplicável, e de procedimentos eficazes de comunicação com as entidades terceiras a quem transmitiu os dados, de modo a assegurar o exercício efetivo dos direitos.
Por se tratar de direitos fundamentais dos cidadãos, esta é uma área de intervenção essencial, a qual sofreu várias alterações do ponto de vista procedimental, pelo que requer a maior cautela na sua adaptação às novas disposições legais.
- Consentimento dos titulares dos dados
Deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares.
O regulamento alarga o conceito de consentimento e introduz novas condições para a sua obtenção.
Se o consentimento não respeita as novas exigências é imprescindível obter novo consentimento, sob pena de o tratamento de dados se tornar ilícito por falta de base legal.
- Dados sensíveis
O regulamento veio estender o leque das categorias especiais de dados (como os dados biométricos).
Deve analisar o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados.
- Documentação e Registo de atividades de tratamento
Deve documentar de forma detalhada as atividades relacionadas com o tratamento de dados pessoais, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD.
Uma vez que o regulamento prevê que as entidades em regime de subcontratação, designadas de “subcontratantes”, passem a ter quase as mesmas obrigações que os responsáveis pelos tratamentos, estando de igual modo obrigadas a provar que cumprem tudo o que lhes é exigido, a prossecução desta medida de forma atempada é vital, pois terão de começar do zero.
- Contratos de subcontratação
Deve rever os contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para verificar se contêm todos os elementos exigidos pelo regulamento.
- Encarregado de proteção de dados
Deve preparar a designação do encarregado de proteção de dados com a antecedência devida, até porque este poderá desempenhar um papel fulcral neste período de transição para garantir que a organização cumpre todas as obrigações legais desde o início da aplicação do regulamento.
- Medidas técnicas e organizativas e segurança do tratamento
Dever rever as políticas e práticas da organização à luz das novas obrigações do regulamento, e adotar as medidas técnicas e organizativas adequadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efetuados estão em conformidade com o RGPD a partir do momento da sua aplicação.
Nessa avaliação, deve ter em conta a natureza, âmbito, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem decorrer para os direitos e liberdades dos cidadãos.
- Proteção de dados desde a conceção e avaliação de impacto
Deve avaliar rigorosamente o tipo de tratamentos de dados que tenha projetado realizar num futuro próximo, de modo a analisar a sua natureza e contexto e os potenciais riscos que possam comportar para os titulares dos dados, de modo a aplicar com eficácia os princípios da proteção de dados desde a conceção e por defeito.
- Notificação de violações de segurança
Deve adotar procedimentos internos e ao nível da subcontratação, se for o caso, para lidar com casos de violações de dados pessoais.
Nem todas as violações devem ser reportadas à autoridade de controlo, apenas aquelas que sejam suscetíveis de resultar num risco para os direitos dos titulares. Todavia, todas as violações devem ser devidamente documentadas conforme preceituado no regulamento.
Também nalguns casos, em que possa resultar um elevado risco para os titulares, é exigido que estes sejam notificados, pelo que deve ser analisado desde logo o tipo de tratamentos de dados realizados e o potencial risco que pode ocorrer em caso de uma violação de segurança.
- Sanções e Coimas
O Regulamento Geral sobre a Proteção de Dados (RGPD) disponibiliza diferentes opções às autoridades de proteção de dados em caso de incumprimento das regras de proteção de dados:
infração provável – pode ser emitida uma advertência;
infração – podem ser aplicadas as sanções de repreensão, proibição temporária ou definitiva do tratamento e uma coima máxima de 20 milhões de euros ou 4 % do volume de negócios total anual da empresa a nível mundial.Importa notar que, no caso de uma infração, a APD pode impor uma coima monetária ao invés, ou além, da repreensão e/ou da proibição do tratamento.
Exemplo:
Uma empresa vende equipamentos para o lar através da internet. Através do seu sítio web, os consumidores podem comprar eletrodomésticos, mesas, cadeiras e outros artigos para o lar, mediante a introdução dos seus dados bancários. O sítio web sofreu um ciberataque que levou à disponibilização dos dados pessoais ao atacante.
Neste caso, a falta de medidas técnicas adequadas por parte da empresa parece ter sido a causa da perda dos dados.
Neste caso, a autoridade de controlo terá em conta vários fatores antes de decidir qual o instrumento corretivo a utilizar. Fatores como: quão grave era a deficiência do sistema informático? Durante quanto tempo a infraestrutura informática esteve exposta ao risco? Foram realizados testes no passado para prevenir este tipo de ataque? Foram roubados/divulgados dados de quantos clientes? Que tipo de dados pessoais foram afetados – incluíam dados sensíveis? Estes e outros aspetos serão tidos em conta pela autoridade de controlo.
Referências: Artigos 58.º, 60.º, 83.º e 84.º e considerandos 129, 148, 150 e 151 do RGPD. / Grupo do Artigo 29.º para a Proteção de Dados, Orientações relativas à aplicação e à definição de coimas administrativas para efeitos do Regulamento 2016/679, 3 de outubro de 2017.
A presente informação não dispensa a leitura de:
Novo Regulamento:
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=PT
Comissão Nacional de Protecção de Dados
https://www.cnpd.pt/
Sítios de internet da União Europeia relativos ao regulamento
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_pt