Share the post "Novas regras de proteção de dados: direitos a salvaguardar"
Proteger a privacidade do cidadão tornou-se uma prioridade máxima para a União Europeia. Tanto é assim que a maior alteração legal até hoje feita para a proteção de dados pessoais teve a sua aplicação efetiva no dia 25 de maio de 2018.
O novo Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (GDPR) visa reforçar as políticas de privacidade e a proteção dos dados pessoais dos cidadãos. A nova legislação aplica-se a todas as empresas ou organizações, sempre que dirijam ofertas e serviços a cidadãos residentes na União Europeia e quem não cumprir poderá ser punido com coimas avultadas.
Mas, o que é que, na prática, significa proteger os dados pessoais dos cidadãos ou o que é que engloba o conceito de privacidade num mundo cada vez mais global e ligado à rede?
Questões de definição: conceito de “dados pessoais”
De acordo com o artigo 4º do novo Regulamento Geral de Proteção de Dados (RGPD), “os dados pessoais são informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica (e-mail) ou a um ou mais elementos específicos da identidade física, fisiológica, genética,mental, económica, cultural ou social dessa pessoa singular“.
De acordo com a nova legislação, os dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.
Na mesma medida, dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais.
O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual.
Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel. Em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.
Exemplos de dados pessoais:
- O nome e apelido;
- O endereço de uma residência;
- Um endereço de correio eletrónico;
- O número de um cartão de identificação;
- Dados de localização (por exemplo, a função de dados de localização num telemóvel);
- Um endereço IP (protocolo de Internet);
- Cookies;
- Os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.
Quais são os direitos individuais a salvaguardar?
De acordo com o RGPD, os cidadãos têm o direito de:
- Informação sobre o tratamento dos seus dados pessoais;
- Obter acesso aos dados pessoais conservados que lhes digam respeito;
- Solicitar a correção de dados pessoais incorretos, inexatos ou incompletos;
- Solicitar o apagamento de dados pessoais que já não sejam necessários ou caso o seu tratamento seja ilícito;
- Opor-se ao tratamento dos seus dados pessoais para efeitos de comercialização ou por motivos que digam respeito à sua situação específica;
- Solicitar a limitação do tratamento dos seus dados pessoais em casos específicos;
- Receber os seus dados pessoais em formato de leitura automática e enviá-los para outro responsável pelo tratamento (portabilidade dos dados);
- Solicitar que as decisões tomadas com base em tratamento automatizado que lhes digam respeito ou que os afetem significativamente e que se baseiem nos seus dados pessoais sejam tomadas por pessoas singulares e não apenas por computadores. Também tem o direito, neste caso, de manifestar o seu ponto de vista e de contestar a decisão.
Para exercer os seus direitos, pode contactar a empresa ou organização que efetua o tratamento dos seus dados pessoais, ou seja, o responsável pelo tratamento. Se a empresa/organização tiver um um Encarregado de Proteção de Dados (Data Protection Officer), poderá endereçar-lhe o seu pedido.
A empresa/organização deve responder aos pedidos sem demora injustificada e o mais tardar no prazo de um mês. Caso a empresa/organização tenha intenção de recusar o pedido, deve explicar porquê. Pode ser-lhe pedido que forneça informações para confirmar a sua identidade (como clicar numa hiperligação de verificação ou inserir um nome de utilizador ou uma palavra-passe) a fim de exercer os seus direitos.
Estes direitos são aplicáveis em toda a União Europeia (UE), independentemente do local onde os dados são tratados e onde a empresa está estabelecida. São igualmente aplicáveis aquando da compra bens e serviços a empresas não pertencentes à UE, mas que operem no seu território.
Como é que os dados podem ser tratados sem violar os direitos?
Quanto a esta questão, o RGDP é claro: o tipo e a quantidade de dados pessoais que uma empresa pode tratar dependem do motivo pelo qual estão a efetuar o tratamento (motivo jurídico) e da finalidade do mesmo. A empresa deve respeitar várias regras fundamentais, nomeadamente:
- Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados;
- Devem existir finalidades específicas para o tratamento dos dados e a empresa deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais;
- Uma empresa não pode simplesmente recolher dados pessoais para fins indefinidos;
- A empresa deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade;
- A empresa deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique;
- A empresa não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha;
- A empresa deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos;
- A empresa deve instalar garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.