Atualidade
O Regulamento Geral sobre a Protecção de Dados da União Europeia entra em vigor em Maio de 2018, conjuntamente com a vigência das reformas introduzidas.
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, que é o novo Regulamento Geral sobre a Protecção de Dados (RGPD) da União Europeia (EU) entra em vigor no dia 25 de Maio de 2018, conjuntamente com a vigência das reformas introduzidas.
Estas reformas introduzidas constatam regras mais rigorosas que conferem aos cidadãos um maior controlo sobre os seus dados pessoais e condições mais equitativas às empresas.
O RGPD aplica-se a todos os Estados-Membros da UE, bem como a qualquer organização estabelecida na UE que possui informações sobre os cidadãos europeus. Ou seja, aplica-se a todas as entidades, organismos ou empresas que tratem dados pessoais, independentemente da dimensão ou tipo de dados tratados.
As operações que envolvam tratamento de dados pessoais abrangem não só a determinação das finalidades e meio de tratamento de dados pessoais, mas também a realização destas operações em regime de subcontratação.
O tratamento de dados abrange operações simples como a visualização ou consulta de dados (nome ou morada), ou operações mais complexas (informação bancária ou fiscal), bem como informação decorrente do uso tecnologias de informação e comunicação (endereços IP, dados de localização, perfis, cookies).
Estas regras são aplicáveis ao âmbito doméstico, excepto se a actividade está ligada a uma actividade profissional ou comercial. Posto isto, a legislação relativa à protecção de dados tem de ser respeitada para o exercício de actividades socioculturais ou financeiras.
Com a entrada em vigor do RGPD, quem faz o tratamento é que demonstra a conformidade com o referido regulamento e as regras, deixando de ser necessárias notificações prévias.
As alterações introduzidas pelo novo Regulamento incluem nomeadamente o cumprimento de novos direitos para os titulares, obrigatoriedade de notificação em caso de um incidente de segurança à Comissão Nacional de Protecção de Dados, e o registo do tratamento dos dados e a sua avaliação.
As empresas devem reformular as politicas de privacidade, implementando procedimentos sobre os seus sistemas internos de informação, que garantam a segurança e a fiabilidade dos seus dados .
A própria definição de Dados Pessoais sofre alterações, passando a incluir por exemplo, dados de localização e identificação por via electrónica.
É introduzida uma nova figura denominada Encarregado pela protecção de dados (Data Protection Officer), sendo a empresa ou organização responsável por nomear um responsável interno que se ocupe da protecção de dados. A obrigação de assegurar a protecção dos dados de acordo com a legislação vigente, aplica-se também a subcontratados, sendo que cabe à empresa assegurar que as empresas externas estão conformes com a lei, nomeadamente os contratos de subcontratação.
O tratamento de dados pessoais de menores também sofre alterações, para menores de 16 anos, o consentimento deve ser dado ou autorizado pelos titulares com responsabilidade parental.
Deve ser efectuada uma avaliação de impacto das operações de tratamento de dados previstas, antes de iniciar o mesmo, sempre que o tipo de tratamento, âmbito, contexto e finalidades for susceptível de implicar um elevado risco para os titulares de dados, sendo obrigatória nos seguintes casos:
A avaliação deve conter a descrição das operações de tratamento previstas e as suas finalidades, avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos, riscos para os titulares dos dados e das medidas previstas para fazer face a esses mesmos riscos.
O não cumprimento das novas regras do RGPD tem previsto coimas consideravelmente elevadas, sendo que os montantes podem variar de acordo com a gravidade do incumprimento, duração, grau de cooperação com as entidades de controlo ou grau de responsabilidade do responsável pelo tratamento ou do subcontratante.
A violação das obrigações dispostas no RGPD está sujeita a coimas entre 10 000 000 EUR e 20 000 000 EUR ou, no caso de uma empresa, até 2 % ou 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
Para a sua implementação é fundamental criar processos documentados e de registo do tratamento de dados de forma a garantir a demonstrar a conformidade com as obrigações legais que o regulamento impõe.
O referido Regulamento é fundamental no contexto legal de uma organização e reveste a necessidade de abordar esta legislação com prioridade e credibilidade. Na ENVIRA, podemos auxiliar na preparação para a entrada em vigor e implementação do RGPD na sua organização, bem como o seu acompanhamento.