Regulamento Europeu de Proteção de Dados
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 dispõe sobre a Proteção de Dados Pessoais, sendo certo que em Maio de 2018 entrou em vigor a fiscalização sobre a aplicação do mesmo (RGPD), da qual poderão resultar coimas pelo incumprimento, de até 4% sobre a faturação do ano transato.
Muito se tem falado deste assunto, mas a verdade é que existem ainda inúmeras incertezas e indefinições relativas à sua aplicação prática, pelo que continuamos a aguardar a Regulamentação nacional sobre a temática, tendo em consideração que a proposta de lei existente à data não foi aprovada.
Ainda assim tal não pode servir como justificação para que as organizações e empresas adiem a implementação do RGPD, pois tal argumentação não poderá ser utilizada se alguma inconformidade for detetada. Nesses termos, sem regulamentação nacional mais detalhada, os organismos obrigados a cumprir com o RGPD, terão ainda assim de promover a sua salvaguarda, cumprindo com os postulados explícitos no diploma.
Desta forma e sucintamente, destacamos a seguinte informação:
O RGPD visa proteger os direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais, entendendo-se como dado pessoal qualquer “Informação relativa a uma pessoa singular Identificada ou identificável”, direta ou indiretamente, em especial por referência a um identificador (nome, número, dados de localização, etc).
Este Regulamento aplica-se ao sector público e ao sector privado (salvo exceções como o exercício de atividades não sujeitas ao Direito da EU; Estado Membro no âmbito da política externa e de segurança comum ao TUE; Pessoa singular no âmbito pessoal ou doméstico e Autoridades competentes para efeitos de prevenção, deteção e repressão de infrações penais e em concreto ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da EU, independentemente do tratamento ocorrer dentro ou fora da UE).
Por tratamento dos dados entende-se a “operação ou conjunto de operações sobre dados pessoais (…) tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”, significando por isso que aqui se englobam todas as atividades que refletem o ciclo de vida da informação, desde a recolha até à sua destruição.
A fiscalização da aplicação e da implementação deste RGPD ocorrerá a partir de 25 de Maio de 2018 e as coimas – para quem incumprir – são de até 4% sobre a faturação do ano transato!
Certo é também que a Comissão Nacional de Proteção de Dados (CNPD), que tudo indica será a entidade fiscalizadora designada, não tem estrutura – como a própria admitiu no início do ano – para de imediato conseguir fiscalizar de forma cabal esta matéria no território nacional, mas tal não deve ser entendido como “desculpa” ou atenuante para não serem tomadas as medidas necessárias à sua plena implementação, porquanto e como a CNPD também divulgou recentemente, irá começar desde logo com fiscalizações aleatórias por diversos sectores de atividade, para além das fiscalizações resultantes de participações inerentes a violações das normas.
Por assim ser, elencamos as 10 medidas identificadas pela CNPD como essenciais para preparar a implementação do RGPD: Informação aos titulares dos dados; Exercício dos direitos dos titulares dos dados; Consentimento dos titulares dos dados; Tratamento de dados sensíveis; Definição de documentação e registo de atividades de tratamento; Criação dos procedimentos para contratos de subcontratação; Definição do encarregado de proteção de dados; Medidas técnicas e organizativas e segurança do tratamento; Proteção de dados desde a conceção e avaliação de impacto e Notificação de violações de Segurança.
Posto isto e para quem ainda não iniciou este processo importa diagnosticar a situação e responder para si mesmo: Que dados trata? Qual o processo que usa? Quem são os responsáveis pelo tratamento?
Será igualmente importante fazer uma avaliação do impacto para os dados pessoais, calculando a necessidade de utilização e manutenção dos dados adquiridos, bem como implementar as medidas de segurança (físicas e/ou digitais) que minimizem o risco existente de acesso indevido a estas informações, demonstrando evidências de todo o processo, à semelhança do que existe num sistema de gestão da qualidade.
Dando estes passos estaremos a antecipar, prevenindo, ao invés de agir após a fiscalização, remediando!
Autor: Rita Baptista, Partner/Advogada na Lacerda Dias & Associados- Sociedade de Advogados, R.L
No Comments