Regulamento Geral
de Proteção dos Dados
O Regulamento Geral de proteção de Dados (RGPD) é uma nova norma para reger o tratamento de dados pessoais na Europa e que, neste âmbito, vem substituir as leis nacionais, nomeadamente a Lei de Proteção dos Dados Pessoais (LPDP). Por um lado, pretende que a proteção de dados se aplique de modo uniforme em todos os Estados da União Europeia; e por outro, visa ajustar a sua regulação aos avanços tecnológicos. Embora tenha entrado em vigor a 25 de maio de 2016, só agora a sua aplicação será efetiva e obrigatória a partir de 25 de maio de 2018.
Trazendo uma autêntica mudança de enfoque, passa-se de um modelo baseado na redação de cláusulas e documentos sobre segurança, para uma responsabilidade proativa (Acountability) que ultrapassa o mero respeito pela norma, pois é preciso, igualmente, gerar procedimentos que assegurem o cumprimento das obrigações e a capacidade de demonstrar como se aplicam na prática.
O que é o RGPD?
Dados Pessoais
Tratamento de dados
Os princípios em que se baseia o Regulamento são muito semelhantes aos previstos na LPDP, mas incluem modificações e novidades extremamente relevantes, designadamente as que abaixo destacamos:
- Os prestadores de serviços que tratem dados pessoais para terceiros assumem muito mais responsabilidades. Como “encarregados do tratamento”, o seu principal desafio será transmitir confiança aos clientes quanto à sua capacidade de cumprir a norma.
- As políticas de privacidade não mais poderão serão aceites em bloco com recurso à habitual fórmula “li e aceito”. O utilizador deve poder escolher os fins para os quais consente o tratamento dos seus dados, e aqueles para os quais não consente.
- O conceito de dado pessoal é alargado, abrangendo os “identificadores únicos” utilizados em marketing digital para conhecer o comportamento dos utilizadores e lhes fornecer conteúdos e publicidade personalizados.
- São criados novos direitos (como o de “portabilidade de dados” e o “direito ao esquecimento”), sendo as empresas obrigadas a realizarem análises de risco sobre as respetivas atividades… Quanto às empresas com mais de 250 funcionários ou que tratem dados de forma massiva deverão nomear um delegado de proteção de dados.
Obrigações do RGPD
Uma vez que a norma contém 99 artigos, é muito difícil resumi-los a todos em poucas linhas. Basicamente, poder-se-iam condensar conforme se segue:
- Para tratar dados pessoais é necessário que uma norma o permita, salvo se tivermos o consentimento do interessado.
- Devemos facilitar informação detalhada ao interessado acerca do tratamento dos seus dados pessoais, com uma redação concisa, simples e de fácil acesso.
- A informação anterior condiciona as utilizações posteriores dos dados: por exemplo, seria ilegal utilizá-los para fins que não tivéssemos explicado adequadamente ao interessado.
- Devem ser respeitados os direitos dos interessados, que vão desde o conhecimento dos seus dados que estamos a tratar, até à supressão dessa mesma informação.
- Os sistemas de informação devem ser concebidos tendo em conta as obrigações previstas no RGPD, para facilitar o cumprimento da norma por parte dos seus utilizadores e garantir a segurança dos dados pessoais.
- Em alguns casos, as empresas terão que nomear um “delegado de proteção de dados”.
O RGPD cinge-se ao tratamento de dados pessoais de pessoas singulares. Não afeta a informação das pessoas coletivas (empresas), mas sim os dados dos seus funcionários ou dirigentes.
Por dados pessoais entende-se toda a informação sobre uma pessoa singular cuja identidade possa ser determinada, direta ou indiretamente (o «interessado»). Qualquer destes dados, por muito inocente que nos pareça, merece proteção, que deve ser extrema quando trabalharmos com “categorias especiais de dados pessoais” («dados sensíveis»). Por dados sensíveisentende-se toda a informação que revele a origem étnica ou racial, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como os dados genéticos, os dados biométricos dirigidos para identificar de maneira unívoca uma pessoa singular, e os relativos à saúde ou à vida/ orientação sexual de uma pessoa singular.
Por tratamento de dados entende-se qualquer operação ou conjunto de operações realizados sobre dados pessoais ou conjuntos de dados pessoais, seja mediante procedimentos automatizados ou não (recolha, organização, consulta, utilização, conservação, modificação, destruição…). O simples facto de se armazenarem dados num computador é considerado tratamento.
No âmbito da norma, todas as empresas que tratem dados pessoais e que tenham sede na União Europeia ou prestem os serviços a cidadãos europeus estão distribuídas por duas categorias, consoante o papel que desempenharem:
- Responsáveis pelo tratamento, quando tiverem capacidade para tomar decisões sobre quais os dados que vão ser tratados, para que fins e com que meios.
- Encarregados do tratamento, quando simplesmente tratarem dados em nome e por conta de um terceiro (ou responsável), por exemplo, para lhe prestarem um serviço.
Princípios do RGPD
Ⓒ 2018 | All rights reserved