A preocupação em reduzir os problemas ocasionados pela fragmentação, ao nível das legislações nacionais, em matéria de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, levou o legislador comunitário a optar pela elaboração de uma fonte comunitária que tivesse aplicação direta e obrigatória em todos os Estados-Membros.
Nesta senda, surgiu o Novo Regulamento Geral de Proteção de Dados Pessoais, responsável pela revogação da Diretiva n.º 95/46/CE, a qual foi transposta para o ordenamento jurídico nacional através da Lei n.º 67/98, de 26 de outubro, isto é, a Lei de Proteção de Dados Pessoais (LPDP).
Esta Lei permanecerá em vigor até ao dia 25 de maio de 2018, exclusive, data em que será obrigatoriamente substituída por aquele Regulamento, que abrangerá todas as entidades (responsáveis pelo tratamento e subcontratantes – princípio da equiparação) que tratem dados pessoais[1], ainda que estabelecidas fora do espaço da União Europeia e sem presença no espaço Europeu. Desde que ofereçam serviços ou façam negócios que envolvam algum género de tratamento de dados pessoais de cidadãos nacionais de um Estado-Membro, o Regulamento aplica-se-lhes (princípio da extraterritorialidade).
Uma das principais alterações introduzidas pelo novo Regulamento prende-se com a supressão dos deveres de notificação/pedido de autorização prévia às autoridades nacionais de proteção de dados pessoais. Em Portugal, esta autoridade é a Comissão Nacional de Proteção de Dados
(CNPD), que passará a desempenhar funções mais ao nível da prevenção e repressão de ilícitos, desde logo, por força da criação do mecanismo de one-stop-shop.[2]
É, assim, sobre todas as entidades que tratem dados pessoais nos moldes expostos supra, que recai o ónus de provar que estão a cumprir as principais obrigações impostas pelo Regulamento, nomeadamente:
- a) A nomeação de um Data Protection Officer (DPO), responsável pelo aconselhamento e monitorização do compliance com as regras (internas) de proteção de dados, e do Regulamento;
- b) O tratamento legítimo de dados pessoais, em regra, mediante consentimento voluntário, explícito, específico (para um certa e determinada finalidade) e informado (direito à informação) e explícito do titular dos dados ou do titular das responsabilidades parentais, tratando-se de menor com idade inferior a 16 anos. É de notar que todo e qualquer consentimento é retratável, embora tal não implique a ilicitude dos tratamentos efetuados com base no consentimento anteriormente concedido.
- c) Manutenção de um registo atualizado sobre atividades de tratamento de dados (dossier de privacidade);
- d) Avaliação de impacto das operações de tratamento sobre a proteção de dados nos casos em que sejam suscetíveis de resultar num elevado risco para os direitos e liberdades dos seus titulares (caso do profiling) – eventual parecer prévio da CNPD;
- e) Notificação (prazo máximo de 72 horas) da CNPD em caso de violação de dados pessoais (data breach) e, posteriormente, dos seus titulares, embora relativamente a estes últimos tal notificação deixe de ser necessária caso a CNPD entenda que tal falha de segurança foi devidamente colmatada pela adoção de medidas como a pseudonimização ou a cifragem de dados pessoais;
- f) Adoção dos princípios da proteção de dados desde a conceção (privacy by design) e da proteção de dados por defeito (privacy by default) – princípio da minimização dos dados;
- g) Respeito pelo direito dos titulares dos dados pessoais ao seu esquecimento, isto é, ao seu apagamento, incluindo daqueles que foram transmitidos a terceiros, e à sua portabilidade, ou seja, o direito a solicitarem ao responsável pelo seu tratamento a disponibilização dos dados pessoais que lhe foram facultados num formato de uso comum e, bem assim, a sua transferência para outro responsável pelo tratamento.
Finalmente, diga-se que o incumprimento das obrigações impostas pelo Regulamento é alvo de um regime sancionatório extremamente exigente, com coimas cujos valores, em casos de maior gravidade, podem ascender a 20.000.000 € ou, no caso de uma empresa, até 4% do volume de negócios anual, a nível mundial.
Por conseguinte, embora a observância destas novas regras só seja exigível a partir de 25 de maio de 2018, o ideal é que as entidades abrangidas pelo Regulamento comecem a adotar as medidas necessárias para uma correta aplicação do mesmo, desenvolvendo planos de ação para mitigação dos gaps identificados nas suas estruturas organizativas e apostando na formação e consciencialização dos seus colaboradores.
Consulte o Regulamento Geral de Proteção de Dados em:
http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT
[1] Com exceção das micro, pequenas e médias empresas (“… empresas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total anual não excede 43 milhões de euros.” Cfr. art. 2.º do anexo da Recomendação n.º 2003/361/CE), salvo se as suas atividades principais consistirem em operações de tratamento de dados pessoais, cuja natureza, âmbito e/ou finalidade exijam um controlo regular e sistemático por parte dos seus titulares.
[2] Ou sistema de balcão único entre as autoridades de proteção de dados de cada Estado-Membro, sendo que no caso de grupos multinacionais com vários estabelecimentos pela Europa, a supervisão mais direta irá passar para a autoridade local do estabelecimento principal do grupo. Quer isto significar que as entidades responsáveis pelo tratamento de dados apenas terão de interagir com a autoridade do país onde têm estabelecimento principal, embora os cidadãos possam sempre queixar-se à autoridade do seu país.