O Novo Regulamento de Protecção de Dados: Partes I, II e III

Em função da enorme relevância prática deste tema e considerando que as empresas devem começar a preparar-se desde já para a entrada em vigor do Novo Regulamento da Protecção de Dados que passará a ser aplicado directamente nos Estados Membros da União Europeia, incluindo Portugal, a partir de 25 de Maio de 2018, introduzindo uma disciplina jurídica particularmente exigente nesta matéria, entendemos que é da maior conveniência e utilidade elaborar um conjunto de notas informativas que permitam aprofundar o conhecimento deste tema por todos numa linguagem simples e acessível.

Com este propósito em mente, iniciamos a publicação de um conjunto de notícias, no total de sete, subordinadas a este tema. Estas notícias apresentarão um resumo das novidades introduzidas por este Regulamento, bem como as medidas e as potenciais correcções a implementar nos procedimentos empresariais actuais, sem esquecer a necessária abordagem prática que consistirá na exposição e proposta de solução de casos hipotéticos da vida empresarial, de acordo com o preceituado no próprio Regulamento Europeu, o qual promete vir a consciencializar seja o universo empresarial, seja os cidadãos (nas suas diversas qualidades de consumidores, utilizadores, trabalhadores, pacientes) para a importância da temática da protecção dos dados pessoais num mundo à escala global.

PARTE I - Um Procedimento Incontornável para as Empresas - 10 Notas Relevantes sobre o Regulamento

1. Âmbito de Aplicação Subjectivo - A Quem Será Aplicável
O Regulamento aplica-se a todas as entidades que tratem dados pessoais, ou seja, que realizem operações que envolvam dados pessoais, sejam aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam essas operações em regime de subcontratação.

2. Âmbito de Aplicação no Território
Em todo o território da União Europeia.

3. Definição de Dados Pessoais
A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica. Para além disso, passa a existir uma definição do que é a "definição de perfis", "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".

4. Tratamento de Dados Pessoais dos Menores
Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. Os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos referidos, desde que não seja inferior a 13 anos.

5. Tratamento de Dados Lícito
O tratamento é lícito quando:
a) Há consentimento do titular dos dados
b) É necessário para a execução de um contrato no qual o titular dos dados é parte
c) É necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito
d) É necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular
e) É necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública
f) É necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros

6. Significado de Consentimento neste Regulamento
O Regulamento define consentimento como uma manifestação de vontade, que deve ser livre, específica, informada e explícita. Essa manifestação de vontade representa a aceitação, que deve ser uma acção positiva, que os dados pessoais que lhe dizem respeito sejam objecto de tratamento. Significa isto que o consentimento tácito é manifestamente tido por inválido.


7. Casos em que é Necessário Contratar um "Encarregado da Proteção de Dados" (Data Protection Officer)
Deve ser designado um Encarregado da Proteção de Dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados

8. Avaliação de Impacto sobre a Proteção de Dados
Se o tipo de tratamento, nomeadamente quando utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for susceptível de implicar um elevado risco para os titulares dos dados, deve ser efectuada uma avaliação de impacto das operações de tratamento previstas sobre a protecção de dados pessoais.
A avaliação é obrigatória caso ocorram:
a) Avaliações sistemáticas e completas dos aspectos pessoais, baseada no tratamento automatizado, incluindo a definição de perfis;
b) Operações de tratamento em grande escala de categorias especiais de dados; ou,
c) Controlos sistemáticos de zonas acessíveis ao público em grande escala,
Esta avaliação a ser efectuada antes de iniciar o tratamento deve conter uma descrição sistemática das operações de tratamento previstas e quais as finalidades e fundamentos dos tratamentos, bem como, a avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos, dos riscos para os titulares dos dados e das medidas previstas para fazer face a esses mesmos riscos.

9. Obrigações em Caso de Violações de Dados Pessoais
O responsável pelo tratamento notifica a autoridade de controlo competente da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma. Se este prazo não for cumprido, a notificação à autoridade de controlo deve ser acompanhada dos motivos do atraso. O subcontratante deve notificar o responsável pelo tratamento sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.
Quaisquer violações de dados pessoais devem ser documentadas, compreendendo os factos relacionados com as mesmas, os respectivos efeitos e a medida de reparação adoptada.
Sempre que a violação dos dados pessoais for suscetível de implicar um elevado risco para os titulares dos dados, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada, descrevendo em linguagem clara e simples a natureza da violação dos dados pessoais e fornecendo as informações e recomendações previstas no Regulamento.

10. Direito ao Esquecimento
O Regulamento consagra o Direito ao Apagamento dos Dados ("direito a ser esquecido"), significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.


PARTE II - Coimas podem chegar aos €20.000.000,00 (10 Notas + Resumo das Novidades + Glossário)

1. Regras quanto à Segurança dos Dados Pessoais
O Regulamento obriga a que o responsável pelo tratamento e o subcontratante apliquem medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado, nomeadamente através da:
a) A pseudonimização e a cifragem dos dados pessoais;
b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.
O responsável pelo tratamento e o subcontratante devem ter um processo que permita testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento, o que vai implicar nomeadamente, que muitas entidades necessariamente se certifiquem, nomeadamente, a nível da ISO27001.

2. Os Subcontratantes no Regulamento
Os subcontratantes terão obrigações e responsabilidade directas, o que significa que os subcontratantes podem ser diretamente responsabilizados.
O tratamento em subcontratação é regulado por contrato que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objecto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento.
Os subcontratantes deverão apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do Regulamento. Ademais, não poderão contratar outro subcontratante sem que o responsável pelo tratamento tenha dado autorização prévia e por escrito.

3. Registos das Actividades de Tratamento
Passa a ser obrigatório que cada responsável pelo tratamento e subcontratante conserve um registo de todas as atividades de tratamento sob a sua responsabilidade, do qual deverão constar um conjunto específico de informações devidamente definido no Regulamento.
A Autoridade de Controlo poderá solicitar a disponibilização desses registos para verificação.

4. Transferência de Dados Pessoais para Países Terceiros
As regras relativas às transferências de dados pessoais para um país terceiro são reforçadas.
Na ausência de uma decisão de adequação do nível de proteção, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas correctivas eficazes.
O Regulamento elenca um conjunto de elementos que podem ser utilizados para prever as garantias adequadas, sem requerer nenhuma autorização específica de uma autoridade de controlo, nomeadamente, regras vinculativas aplicáveis às empresas, cláusulas-tipo de proteção de dados adoptadas pela Comissão, códigos de conduta devidamente aprovados, processo de certificação aprovado.

5. Portabilidade dos Dados
Em determinadas situações o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento e o direito de transmitir esses dados a outro responsável por tratamento.

6. Protecção de Dados desde a sua Génese
O responsável pelo tratamento deverá adoptar orientações internas e aplicar medidas que respeitem, em especial, os princípios da protecção de dados desde a génese, podendo tais medidas incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados pessoais, encriptação, entre outros.

7. Mecanismo de Balcão Único
Maioritariamente, os responsáveis pelo tratamento e subcontratantes terão apenas que comunicar com a autoridade de controlo principal. Porém, as autoridades de controlo locais continuam a ter poderes em vários sectores e irão colaborar com as principais em investigações.

8. Sanções
O Regulamento devido à sua natureza só pode definir coimas, ou seja, sanções contraordenacionais. Significa isto que, ainda que o Regulamento venha revogar a Lei de Protecção de Dados, as normas que respeitam à relevância e enquadramento penal de certos incumprimentos continuarão em vigor até ser aprovada nova legislação.
As coimas previstas no Regulamento podem chegar aos €20.000.000,00 ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

9. Entrada em Vigor
O Regulamento aplica-se em toda a UE a partir de 25 de Maio de 2018. Contudo, após a publicação, as entidades devem começar o processo de adaptação ao mesmo.

10. SÍNTESE DAS NOVIDADES

TabelaNEWS Sintese


GLOSSÁRIO

Tabela Glossario

 

PARTE III - 10 Medidas para Preparar a Aplicação do Regulamento Europeu

Nota informativa da Comissão Nacional de Protecção de Dados:
O Regulamento Geral de Proteção de Dados (RGPD) passará a ser aplicado diretamente a partir de 25 de Maio de 2018, e vem substituir a actual directiva e lei de protecção de dados pessoais. O novo quadro legal traz algumas mudanças significativas que terão diferente impacto na vida das organizações, consoante a sua natureza, área de actividade, dimensão e tipo de tratamentos de dados pessoais que realizem. Assim, empresas e entidades públicas devem começar desde já a preparar internamente a sua organização para a aplicação do RGPD.
É essencial conhecer as novas regras, analisar as novas obrigações, verificar o nível actual de cumprimento e adoptar as medidas necessárias durante este período de transição para assegurar que tudo está pronto atempadamente. Neste documento, estão identificadas dez áreas principais de actuação para prosseguir nos próximos meses. A CNPD continuará a dar orientações às entidades públicas e privadas sobre o regulamento, incluindo em áreas específicas que estão a ser objecto de discussão entre as autoridades de protecção de dados da União Europeia com vista a uma aplicação concertada e uniforme do RGPD.

Consulte neste documento as 10 áreas principais de actuação identificadas pela CNPD.

Saiba como fazer parte da rede da Câmara de Comércio

 

Torne-se nosso associado

 

Apresentação Câmara de Comércio