A preocupação em reduzir  os problemas ocasionados pela  fragmentação,  ao nível  das legislações nacionais,  em matéria de proteção  das pessoas singulares no que diz respeito ao  tratamento de dados pessoais, levou o legislador comunitário a optar pela elaboração de uma fonte comunitária que tivesse aplicação direta e obrigatória em todos os Estados-Membros.

Nesta senda, surgiu o  Novo Regulamento Geral de  Proteção de Dados Pessoais, responsável pela revogação da  Diretiva n.º 95/46/CE,  a qual foi transposta para o ordenamento jurídico nacional através da Lei n.º 67/98, de 26 de outubro, isto é, a Lei de Proteção de Dados Pessoais (LPDP).

Esta Lei permanecerá em vigor até ao dia 25 de maio de 2018,  exclusive,  data em que será obrigatoriamente substituída por aquele Regulamento, que  abrangerá todas as entidades (responsáveis pelo tratamento e subcontratantes – princípio da equiparação) que tratem dados pessoais[1], ainda que estabelecidas fora do espaço da União Europeia e sem presença no espaço Europeu. Desde que ofereçam serviços ou  façam negócios que envolvam algum género de tratamento de dados  pessoais de cidadãos nacionais de um Estado-Membro,  o Regulamento aplica-se-lhes (princípio da extraterritorialidade).

Uma das principais  alterações introduzidas  pelo novo Regulamento prende-se com a supressão dos deveres de notificação/pedido  de autorização prévia às autoridades nacionais de proteção de dados pessoais. Em Portugal, esta autoridade é a Comissão Nacional de Proteção de Dados

(CNPD), que passará a desempenhar funções mais ao nível da prevenção e repressão de ilícitos, desde logo, por força da criação do mecanismo de one-stop-shop.[2]

É,  assim, sobre  todas as entidades que tratem dados pessoais nos moldes expostos supra,  que recai o ónus de provar que estão a cumprir  as principais obrigações  impostas pelo  Regulamento, nomeadamente:

1. a) A  nomeação  de  um Data  Protection  Officer (DPO), responsável  pelo  aconselhamento  e  monitorização  do  compliance com as regras (internas)  de proteção   de dados, e do Regulamento;
2. b) O tratamento legítimo de dados pessoais, em regra, mediante  consentimento voluntário, explícito,  específico (para um certa e determinada finalidade) e  informado (direito à informação) e explícito  do titular dos dados ou do titular das responsabilidades parentais,  tratando-se de menor com idade inferior a 16 anos.  É de  notar que todo e qualquer consentimento é retratável, embora tal não implique a ilicitude dos tratamentos efetuados com base no consentimento anteriormente concedido.
3. c) Manutenção de um registo atualizado sobre atividades de tratamento de dados (dossier de privacidade);
4. d) Avaliação  de impacto das operações de tratamento sobre a proteção de dados nos casos em que sejam  suscetíveis de resultar num  elevado risco para os direitos  e liberdades dos seus titulares (caso do profiling) – eventual parecer prévio da CNPD;
5. e) Notificação (prazo máximo de 72 horas) da CNPD em caso de violação de dados pessoais (data breach) e, posteriormente, dos seus titulares, embora relativamente a estes últimos tal notificação deixe de ser necessária caso a CNPD  entenda  que tal falha de segurança foi devidamente colmatada pela adoção de medidas como a pseudonimização ou a cifragem de dados pessoais;
6. f)  Adoção  dos princípios  da proteção de dados desde a conceção (privacy by design) e  da  proteção  de dados por defeito (privacy by default) –  princípio da minimização dos dados;
7. g) Respeito pelo direito dos titulares dos dados pessoais ao seu esquecimento, isto é, ao seu apagamento, incluindo daqueles que foram transmitidos a terceiros, e à sua portabilidade, ou seja, o  direito  a  solicitarem  ao responsável  pelo seu tratamento  a  disponibilização  dos  dados  pessoais  que  lhe  foram  facultados num formato de uso comum e,  bem assim,  a sua transferência para outro responsável pelo tratamento.

Finalmente,  diga-se que o incumprimento das obrigações impostas pelo Regulamento é  alvo de um regime sancionatório extremamente exigente, com coimas cujos valores, em casos de maior gravidade, podem ascender a 20.000.000 € ou, no caso de uma empresa, até 4% do volume de negócios anual, a nível mundial.

Por conseguinte, embora a observância destas novas regras só seja exigível a partir de 25 de maio de 2018, o ideal é que as entidades abrangidas pelo Regulamento comecem a adotar as medidas necessárias  para  uma  correta  aplicação  do  mesmo, desenvolvendo  planos  de  ação  para  mitigação dos gaps identificados nas  suas  estruturas  organizativas  e  apostando  na  formação  e consciencialização dos seus colaboradores.

Consulte o Regulamento Geral de Proteção de Dados em:

http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT

[1] Com exceção das micro, pequenas e médias empresas (“… empresas que empregam menos de 250 pessoas e cujo volume de negócios anual  não excede 50 milhões de euros ou cujo  balanço total anual não excede 43 milhões de euros.” Cfr. art. 2.º do anexo da Recomendação n.º 2003/361/CE), salvo se as suas atividades principais consistirem em operações de tratamento de dados pessoais, cuja natureza, âmbito e/ou finalidade exijam um controlo regular e sistemático por parte dos seus titulares.

[2] Ou sistema de balcão único entre as autoridades de proteção de dados de cada Estado-Membro,  sendo que no caso de grupos multinacionais com vários estabelecimentos pela  Europa, a supervisão mais direta irá passar para a autoridade local do estabelecimento principal do grupo. Quer isto significar que as entidades responsáveis pelo tratamento de dados apenas terão de interagir com a autoridade do país onde têm estabelecimento principal, embora os cidadãos possam sempre queixar-se à autoridade do seu país.

É válido o contrato de trabalho celebrado entre as partes sujeito à condição de o trabalhador obter a autorização de permanência ou residência pelo Serviço de Estrangeiros e Fronteiras, sob pena de tal contrato ser inválido.

I. A exclusão de um sócio de Sociedade por quotas fundamentada na alegada falta de cumprimento da obrigação de entrada pelo sócio (remisso) pode ser efectuada por mera deliberação social, sem necessidade de intervenção do Tribunal (art. 204º; cfr. art. 241, nº 1 do Cód. das Sociedades Comerciais),
II. A conclusão do ponto I) mantém-se ainda que a sociedade comercial em causa seja bipessoal (constituída por apenas dois sócios), não sendo, assim, nula a deliberação social que nestas circunstâncias seja tomada.