Lisboa, 28 de junho de 2016 Regulamento Geral sobre a Proteção de Dados O que vai mudar João Luís Traça Sócio
Diploma e entrada em vigor Título REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) o É um Regulamento o Aplica-se em toda a União Europeia o A partir de 25 de maio de 2018
Diploma e entrada em vigor A aplicação do Regulamento poderá ser limitada devido a (alguns exemplos): Segurança do Estado Defesa Segurança pública Prevenção, investigação ou repressão de infrações penais, ou execução de sanções penais e salvaguarda de ameaças à segurança Interesse público geral da União ou de um Estado-Membro Execução de ações cíveis Investigação de violações da deontologia profissional NOTA: Não prejudica a aplicação da Diretiva do Comércio eletrónico, incluindo a responsabilidade de ISPs
Responsável vs. Subcontratante Mantém-se a atual lógica de separação, contudo: Subcontratante deverá prestar assistência no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32. o a 36. o, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante Mas Subcontratante continua a atuar sob a autoridade do responsável Contratação de um sub-subcontratante pelo subcontratante carece da autorização escrita do responsável É criada a figura de responsáveis conjuntos (nos casos em que ambos determinem conjuntamente as finalidades e os meios desse tratamento)
Responsável vs. Subcontratante Subcontratante com mais de 250 trabalhadores está obrigado a conservar registo de todas as categorias de atividades realizadas em nome do responsável, com: Nome e contactos de cada responsável (incluindo do representante ou encarregado da proteção de dados) em nome do qual atua e dos subcontratantes utilizados; As categorias de tratamentos efetuadas Se aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais Se possível, uma descrição geral das medidas técnicas e organizativas de segurança Em certas situações estes requisitos também são aplicáveis a entidades com menos de 250 trabalhadores
O Encarregado de Dados Pessoais É um profissional especificamente focado, entre outros temas, na supervisão e acompanhamento de todas as operações de tratamento de dados pessoais de uma determinada entidade Deve desempenhar funções com independência logo, a sua existência tem que passar a ser tida em conta no modo de relacionamento diário com clientes e fornecedores sempre que tal envolva dados pessoais
Quando deve ser designado o Encarregado de Dados Pessoais? O tratamento for efetuado por uma autoridade ou um organismo público As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático pelos titulares dos dados, ou As atividades principais do responsável pelo tratamento ou do subcontratante consistam no tratamento em grande escala de categorias especiais de dados
Portabilidade dos dados Nos termos do Regulamento, o titular dos dados terá agora o direito de receber os dados pessoais que lhe digam respeito num formato estruturado, de uso corrente e de leitura automática e que tenha facultado a um responsável pelo tratamento bem como o direito de transmitir esses dados a outro responsável pelo tratamento
O consentimento dos titulares De ora em diante, o consentimento deverá ser uma manifestação de vontade, que deve ser livre, específica, informada e explícita. Por outras palavras, deverá existir uma ação positiva por parte dos titulares dos dados. Ou seja, o consentimento tácito tenderá a ser tido por inválido.
O consentimento de menores Caso seja menor de 16 anos, o tratamento apenas poderá ocorrer se o consentimento for dado ou autorizado pelos titulares das responsabilidades parentais Porém, os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos
Data Breaches (violação de dados pessoais) Qualquer violação de dados pessoais deverá ser comunicada pelo responsável pelo tratamento até 72 H após ter tido conhecimento da mesma Não aplicável se a violação não for suscetível de resultar num risco para os direitos e liberdades das pessoas singulares Se o prazo de 72 H for excedido, a notificação à autoridade deverá ser acompanhada de justificação do atraso A obrigação de notificar uma violação recai também sobre o subcontratante que deverá informar o responsável, sem demora injustificada, após ter conhecimento de uma violação de dados pessoais
Data Breaches (violação de dados pessoais) As notificações de data breaches deverão Descrever a natureza da violação, incluindo, se possível, o número aproximado de titulares de dados afetados Indicar nome e os contactos do encarregado da proteção de dados ou de outro contacto para obter informações Listar as consequências prováveis da violação Referir as medidas adotadas ou previstas para reparar ou atenuar o impacto Toda esta informação é relevante para o regulador poder solicitar a adoção de novas medidas ou a aplicação de coimas
Data Breaches (violação de dados pessoais) Se a violação implicar elevado risco para os titulares, o responsável deverá comunicar-lhes a ocorrência da violação sem demora Esta comunicação não é exigida se: O responsável tiver aplicado medidas adequadas aos dados que tornem os dados incompreensíveis a terceiros não autorizados (ex. cifragem) Forem tomadas medidas subsequentes que assegurem que o elevado risco não é suscetível de se concretizar Implicar um esforço desproporcionado. Alternativa: comunicação pública. A existência de uma violação torna-se, assim, num processo que ganha visibilidade junto dos clientes e das partes que têm relações com o responsável, com impactos diretos do ponto de vista comercial e de possíveis indemnizações.
Transferência de dados A transferência para países que não assegurem um nível adequado de proteção poderá ser realizada sem necessidade de uma autorização específica através de: Regras vinculativas aplicáveis às empresas (Binding Corporate Rules) Cláusulas-tipo de proteção de dados adotadas pela Comissão (EU Model Clauses) Códigos de conduta devidamente aprovados
Obrigado João Luís Traça Joao.Traca@mirandalawfirm.com