Novas regras para a protecção de dados da UE

O Regulamento Geral sobre a Protecção de Dados da União Europeia entra em vigor em Maio de 2018, conjuntamente com a vigência das reformas introduzidas.

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, que é o novo Regulamento Geral sobre a Protecção de Dados (RGPD) da União Europeia (EU) entra em vigor no dia 25 de Maio de 2018, conjuntamente com a vigência das reformas introduzidas.

Estas reformas introduzidas constatam regras mais rigorosas que conferem aos cidadãos um maior controlo sobre os seus dados pessoais e condições mais equitativas às empresas.

A quem se aplica e para que serve?

O RGPD aplica-se a todos os Estados-Membros da UE, bem como a qualquer organização estabelecida na UE que possui informações sobre os cidadãos europeus. Ou seja, aplica-se a todas as entidades, organismos ou empresas que tratem dados pessoais, independentemente da dimensão ou tipo de dados tratados.

As operações que envolvam tratamento de dados pessoais abrangem não só a determinação das finalidades e meio de tratamento de dados pessoais, mas também a realização destas operações em regime de subcontratação.

O tratamento de dados abrange operações simples como a visualização ou consulta de dados (nome ou morada), ou operações mais complexas (informação bancária ou fiscal), bem como informação decorrente do uso tecnologias de informação e comunicação (endereços IP, dados de localização, perfis, cookies).

Estas regras são aplicáveis ao âmbito doméstico, excepto se a actividade está ligada a uma actividade profissional ou comercial. Posto isto, a legislação relativa à protecção de dados tem de ser respeitada para o exercício de actividades socioculturais ou financeiras.

Quais são as novas regras?

Com a entrada em vigor do RGPD, quem faz o tratamento é que demonstra a conformidade com o referido regulamento e as regras, deixando de ser necessárias notificações prévias.

As alterações introduzidas pelo novo Regulamento incluem nomeadamente o cumprimento de novos direitos para os titulares, obrigatoriedade de notificação em caso de um incidente de segurança à Comissão Nacional de Protecção de Dados, e o registo do tratamento dos dados e a sua avaliação.

As empresas devem reformular as politicas de privacidade, implementando procedimentos sobre os seus sistemas internos de informação, que garantam a segurança e a fiabilidade dos seus dados .

A própria definição de Dados Pessoais sofre alterações, passando a incluir por exemplo, dados de localização e identificação por via electrónica.

É introduzida uma nova figura denominada Encarregado pela protecção de dados (Data Protection Officer), sendo a empresa ou organização responsável por nomear um responsável interno que se ocupe da protecção de dados. A obrigação de assegurar a protecção dos dados de acordo com a legislação vigente, aplica-se também a subcontratados, sendo que cabe à empresa assegurar que as empresas externas estão conformes com a lei, nomeadamente os contratos de subcontratação.

O tratamento de dados pessoais de menores também sofre alterações, para menores de 16 anos, o consentimento deve ser dado ou autorizado pelos titulares com responsabilidade parental.

Deve ser efectuada uma avaliação de impacto das operações de tratamento de dados previstas, antes de iniciar o mesmo, sempre que o tipo de tratamento, âmbito, contexto e finalidades for susceptível de implicar um elevado risco para os titulares de dados, sendo obrigatória nos seguintes casos:

• Avaliações sistemáticas e completas dos aspectos pessoais, com base no tratamento automatizado, incluindo a definição de perfis;
• Operações de tratamento em grande escala de categorias especiais de dados;
• Controlos sistemáticos de zonas acessíveis ao público em grande escala.

A avaliação deve conter a descrição das operações de tratamento previstas e as suas finalidades, avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos, riscos para os titulares dos dados e das medidas previstas para fazer face a esses mesmos riscos.

Consequências do não cumprimento do RGPD?

O não cumprimento das novas regras do RGPD tem previsto coimas consideravelmente elevadas, sendo que os montantes podem variar de acordo com a gravidade do incumprimento, duração, grau de cooperação com as entidades de controlo ou grau de responsabilidade do responsável pelo tratamento ou do subcontratante.

A violação das obrigações dispostas no RGPD está sujeita a coimas entre 10 000 000 EUR e 20 000 000 EUR ou, no caso de uma empresa, até 2 % ou 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Para a sua implementação é fundamental criar processos documentados e de registo do tratamento de dados de forma a garantir a demonstrar a conformidade com as obrigações legais que o regulamento impõe.

O referido Regulamento é fundamental no contexto legal de uma organização e reveste a necessidade de abordar esta legislação com prioridade e credibilidade. Na ENVIRA, podemos auxiliar na preparação para a entrada em vigor e implementação do RGPD na sua organização, bem como o seu acompanhamento.