REGULAMENTO GERAL DE PROTEÇÃO DE DADOS BREVES CONSIDERAÇÕES

Tamanho: px

Começar a partir da página:

Download "REGULAMENTO GERAL DE PROTEÇÃO DE DADOS BREVES CONSIDERAÇÕES"

Denílson Paixão
5 Há anos
Visualizações:

1 REGULAMENTO GERAL DE PROTEÇÃO DE DADOS BREVES CONSIDERAÇÕES Aspirante RC Rui Filipe Aires Pereira 1. Introdução O Regulamento de Proteção de Dados (RGPD) começou a ser aplicado diretamente a partir do dia 25 de maio de 2018, substituindo a anterior diretiva e lei de proteção de dados pessoais (Diretiva 95/46/CE do Parlamento europeu e do Conselho) com vista a regular uniformemente, a forma como as pessoas, empresas e organizações gerem os dados pessoais dos cidadãos da União Europeia e ainda da Islândia, Liechtenstein, Noruega e Suíça. Esta opção legislativa decorre do próprio Tratado sobre o funcionamento da União Europeia (doravante TFUE), consagrando no seu artigo 16º n. º1 que, Todas as pessoas têm direito à proteção de dados de caráter pessoal que lhes digam respeito aliado também à própria Carta dos Direitos Fundamentais da União Europeia (CDFUE), através do seu artigo 8º n.º1, que vem reforçar a proteção de dados pessoais dos cidadãos positivando de forma idêntica. Mais acrescenta, que esses dados devem ser objeto de um leal tratamento para determinados fins e com o consentimento (sublinhado nosso) da pessoa interessada ou com outro fundamento previsto na lei. Todas as pessoas terão o direito de aceder aos dados que lhes digam respeito e de obter a respetiva retificação (art.º 8º n.º 2 da CDFUE). O regulamento vem impor uma obrigação de informação acerca da base legal no tratamento de dados pessoais, dos seus prazos de conservação e transferência dos mesmos. Elenca este, um vasto número de princípios que transmitem a ideia de continuidade já estabelecidos na Diretiva 95/46/CE relativa à proteção de dados e que são transversais ao bloco de legalidade no nosso ordenamento jurídico, nomeadamente a equidade, a legalidade e a transparência. No entanto, recai agora sobre as próprias organizações a responsabilidade de interpretação e cumprimento do RGPD, impondo um dever de autorregulação em que as mesmas estarão sujeitas a serem responsabilizadas pelos 1

2 próprios atos desconformes com o regulamento, ou seja, já não será possível fazer-se uso de um ato primário ao qual a organização ficava vinculado Principais desafios Acerca da implementação do RGPD, verifica-se uma enorme preocupação no tecido empresarial português, desde logo, pelos valores elevados das coimas (estas podem ir até vinte milhões de euros ou 4% do volume de negócios mundial da empresa), bem como do modus operandi das mesmas, cujos principais reptos serão: A designação de um Data Protection Officer (DPO), o chamado Encarregado de Proteção de Dados, que será responsável no âmbito da monotorização das tarefas quotidianas, para que estas estejam em conformidade com o RGPD. 2 O RGPD vem obrigar as empresas a realizarem Data Protection Impact Assessments (DPIA) quando hajam operações de processamento de dados invasivas. As avaliações devem evidenciar que os riscos de violações de dados pessoais estão anulados ou mitigados e que os requisitos do RGPD são cumpridos. Ficará a cargo das organizações a formação dos colaboradores nos modelos de gestão de privacidade que vierem a ser definidos para que haja um integral cumprimento dos dados pessoais dos cidadãos. As empresas e organizações terão que zelar pelo cumprimento do chamado direito ao esquecimento, ou seja, há uma permissão para que os titulares dos dados e mediante determinadas circunstâncias solicitem a destruição de todos os seus dados pessoais guardados por uma empresa ou organização. 3 4 A obrigação por parte da empresa que sofra violação de dados de notificar o regulador e o titular de dados pessoais de uma eventual violação a esses dados. Este prazo será conforme o estipulado na lei. Obviamente que o normativo vem transmitir a ideia de uma maior salvaguarda dos nossos dados pessoais, desde logo pela forma como eles são tratados devendo existir consentimento, este, deverá ser dado mediante um ato positivo claro que indique a manifestação de uma vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, mediante uma declaração escrita, 1 Estamos a falar do parecer pedido à Comissão Nacional de Proteção de Dados (CNPD). 2 De salientar que a sua nomeação só será obrigatória mediante os casos previstos no artigo 37.º do RGPD. Mas caso haja nomeação, este fará o acompanhamento do risco associado às operações de processamento de dados e garante o registo das evidências necessárias para demonstrar o cumprimento junto do regulador. 3 Estão excluídos deste âmbito as obrigações legais e fiscais. 4 Recorde-se que este direito teve a sua origem na decisão do Tribunal de Justiça Europeu de 13 de maio de 2014 que condenou a Google a retirar os dados pessoais a um cidadão espanhol do seu índice, e impossibilitar o futuro acesso aos mesmos. 2

3 inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. 5 O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido. Em suma, observa-se que o nível de exigência do RGPD vem colocar desafios complexos na natureza organizacional, processual e tecnológica, que poderão exigir um esforço notório no processo de transformação das organizações para compliance Da não aplicabilidade à função pública De alertar os leitores sobre a não aplicabilidade das multas (pelo menos temporariamente) à função pública. Aquando a conferência do Conselho de Ministros, a Exma. Ministra da Presidência e da Modernização Administrativa, 7 afirmou que o regulamento foi sobretudo pensado tendo em conta grandes empresas multinacionais, para quem os dados, e muitas vezes os dados pessoais, são o seu negócio, em que assenta a sua atividade. Não foi tanto para a Administração Pública, que não usa os dados pessoais para o seu negócio 8, mas 5 Vide: 6 Desafios tamanhos que não irão ser abordados tendo em atenção a finalidade da produção do texto. 7 Maria Manuel Leitão Marques, que assumiu a pasta em 26 de novembro de Fonte: 3

somente para cumprimento dos deveres e exercício de direitos dos particulares que se relacionam com a Administração. Daí resulta a atenuação do valor da coima para as pequenas e médias empresas.

4 somente para cumprimento dos deveres e exercício de direitos dos particulares que se relacionam com a Administração. Daí resulta a atenuação do valor da coima para as pequenas e médias empresas. Esta proposta versa a isenção durante os próximos três anos para posterior reapreciação, ou seja, numa perspetiva objetiva, será uma possível isenção limitada no tempo. 4. Conclusões Apesar do período de 2 anos de adaptação, a larga maioria das empresas e até do próprio Estado não estão preparados para o impacto das obrigações do RGPD, sendo de observar uma falta de informação dos próprios cidadãos sobre todos os direitos enquanto titulares dos dados, tão pouco existe awarness 9 sobre o poder que estes detêm sobre as empresas, e sobre o próprio Estado enquanto responsáveis pelo tratamento dos seus dados pessoais. Profetiza-se uma dificuldade de cumprimento, sendo de esperar constantes violações ao normativo em virtude de falta de informação. Questiona-se o facto de não ter havido uma campanha de informação e formação por parte do Estado, dado que este é o responsável principal de alerta dos cidadãos para o exercício dos seus direitos, mas também se pode dizer que fizemos jus à velha máxima que nos distingue dos demais, a nossa imensa aptidão para procrastinar a resolução de problemas. 5. Bibliografia Diretiva 95/46/CE do Parlamento europeu e do Conselho, de 24 de outubro de 1995; Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a diretiva 95/46, do Parlamento europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados; 9 Conceito utilizado no mundo empresarial para questões de consciência. 4

5 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados);

Documentos relacionados

Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados? Isabel Ornelas Área de Privacidade, Proteção de Dados e Cibersegurança Vieira de Almeida e Associados O NOVO REGIME