Novo Regulamento Geral Sobre a Protecção de Dados: o que muda?

A partir de 25 de Maio um novo conjunto de regras (Regulamento Geral sobre a Proteção de Dados ou RGPD) em matéria de protecção de dados produzirá efeitos por toda a UE, envolvendo indivíduos, empresas, administrações e outras organizações na mesma medida. Este novo enquadramento europeu pretende oferecer uma maior protecção dos direitos individuais e novas oportunidades para as empresas, clarificando e modernizando as regras relativas à protecção de dados.

• Mecanismo de Balcão Único

O Regulamento estabelece um quadro jurídico harmonizado que visa uma aplicação uniforme e coerente das regras em todos os Estados-Membros, com a introdução do mecanismo de balcão único. Em geral, os responsáveis pelo tratamento e subcontratantes terão apenas que comunicar com a autoridade de controlo principal, ou seja, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante, nos termos do artigo 56.º, n.º 1 do RGPD.  No entanto, as autoridades de controlo locais continuam a ter poderes em vários sectores e ambas as autoridades irão colaborar em investigações.

• Reforço dos Direitos Individuais

O Regulamento introduz novos requisitos de transparência; reforço dos direitos de informação, acesso, apagamento (o “direito a ser esquecido” encontra-se previsto no artigo 17.º do RGPD); o silêncio e a inactividade deixam de ser considerados consentimentos válidos, e o consentimento passa a ser mais exigente, sendo necessário uma clara acção afirmativa para manifestar o consentimento (artigo 4.º do RGPD); e a protecção das crianças em linha (caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança, sendo que os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos referidos, desde que não seja inferior a 13 anos).

• Subcontratantes

Os subcontratantes (pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes) terão obrigações e responsabilidades directas, o que significa que os subcontratantes podem ser directamente responsabilizados. O tratamento em subcontratação é regulado pelo contrato que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objecto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Os subcontratantes deverão apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do Regulamento. Ademais, não poderão contratar outro subcontratante sem que o responsável pelo tratamento tenha dado autorização prévia e por escrito.

• Protecção de Dados desde a concepção e por defeito

O responsável pelo tratamento deverá adoptar orientações internas e aplicar medidas que respeitem, em especial, os princípios da protecção de dados desde a génese, podendo tais medidas incluir a minimização do tratamento de dados pessoais, a pseudo-minimização de dados pessoais, encriptação, entre outros.

• Direito à Portabilidade dos Dados

O Regulamento estabelece um novo direito de portabilidade dos dados, que permite aos cidadãos solicitar a uma empresa ou organização a devolução dos dados pessoais que o cidadão forneceu a essa empresa ou organização com base no consentimento ou no contrato; permite igualmente que esses dados pessoais sejam transmitidos directamente a outra empresa ou organização, quando tal for tecnicamente possível. Tal direito contribui então para a livre circulação de dados pessoais na UE, evita a retenção de dados pessoais e incentiva a concorrência entre empresas.

• Maior Protecção contra Violações de Dados Pessoais

O Regulamento vem definir claramente o que é uma “violação de dados pessoais” e introduzir uma obrigação de notificação à autoridade de controlo competente nos termos do artigo 55.º, o mais tardar no prazo de 72 horas, quando a violação de dados for susceptível de implicar um risco para os direitos e liberdades individuais (artigo 33.º do RGPD). Em determinadas circunstâncias, obriga a que se informe o titular dos dados acerca da violação, reforçando a protecção, em comparação com o que acontece actualmente na UE.

• Coimas

As coimas podem chegar aos 20 milhões de euros ou, no caso de uma empresa, a 4% do volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

• Princípio da Responsabilidade

O Regulamento passa a assentar no princípio da auto-responsabilização das entidades responsáveis pelo tratamento e subcontratantes que tratam dados pessoais, através de obrigações que podem ser ajustadas em função do risco, ou seja, através da presença de um Encarregado da Protecção de Dados (DPO – Data Protection Officer) ou da obrigação de realizar avaliações de impacto sobre a protecção de dados. Este último trata-se de um novo instrumento para ajudar a avaliar o risco antes de se iniciar o tratamento (artigo 35.º do RGPD). A obrigação de realizar esta avaliação existe quando o tratamento é susceptível de implicar um elevado risco para os direitos e liberdades das pessoas singulares. O regulamento menciona especificamente 3 situações: quando uma empresa avalia de forma sistemática e completa aspectos pessoais relacionados com pessoas singulares (incluindo definição de perfis); quando trata dados sensíveis em larga escala; ou quando controla sistematicamente zonas acessíveis ao público em grande escala. As autoridades nacionais de controlo terão de tornar públicas as listas dos casos que necessitam de uma avaliação de impacto sobre a protecção de dados.

• Transferência de Dados Pessoais para Países Terceiros

O Regulamento exige que as empresas sediadas fora da UE apliquem as mesmas regras que as empresas sediadas na UE, caso ofereçam bens e serviços relacionados com dados pessoais ou monitorizem o comportamento dos indivíduos na União. As empresas que operem a partir de países fora da UE e que estão activas no mercado único devem, em determinadas circunstâncias, nomear um representante na UE a quem os cidadãos e as autoridades se possam dirigir em complemento ou em substituição da empresa com sede no estrangeiro.

Isto aplica-se em casos em que a empresa, mesmo portuguesa, subcontrata o armazenamento de dados com países fora da UE.

Na ausência de uma decisão de adequação do nível de protecção, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas correctivas eficazes.

No que toca às decisões de adequação, o regulamento introduz um catálogo exacto e pormenorizado dos elementos que a Comissão deve ter em conta quando avalia se um sistema estrangeiro protege adequadamente os dados pessoais. O regulamento também formaliza e alarga o número de instrumentos de transferência alternativos, tais como cláusulas contratuais normalizadas e regras vinculativas aplicáveis às empresas.

Para mais informações contacte: vca@valadascoriel.com

Artigos Relacionados

24/07/2024

Valadas Coriel e managing partner reconhecidos no guia de High Net Worth 2024 do Chambers

16/07/2024

Por que razões o seu pedido de nacionalidade portuguesa pode ser recusado?