O Regulamento Geral de Proteção de Dados (RGPD) oferece regras claras de como pode funcionar o mercado do tratamento de dados no que diz respeito à privacidade dos seus titulares.
Embora em aplicação efetiva apenas desde o passado dia 25 de maio, desde o dia 24 de maio de 2016, data em que entrou em vigor, quer cidadãos quer empresas já sabem com o que podem contar nesta área. O objetivo é que seja mais fácil fazer valer os direitos e os deveres de ambos.
Morada, número de telefone e de contribuinte, sexo e idade são alguns dos dados pessoais mais comuns que estamos habituados a partilhar para aceder a serviços e fazer compras. Estes são, também, exemplos de informação que partilhamos online, quando aderimos a uma rede social, agendamos uma consulta médica ou comunicamos com o nosso banco.
Com a evolução tecnológica, esta informação pessoal tornou-se o “petróleo” do século XXI. Graças às ferramentas de tratamento digital, ela passou a valer ouro no mundo do marketing e empresarial.
Mas, até agora, o negócio gerado em torno desta informação funcionava de forma menos clara, principalmente para um dos mais interessados: o titular dos dados pessoais que são negociados. É aqui que entra o Regulamento Geral de Proteção de Dados.
Regulamento Geral de Proteção de Dados: o que precisa de saber
O que é o Regulamento Geral de Proteção de Dados?
O RGPD é um diploma legal que se aplica às empresas ou organizações que efetuem tratamento de dados pessoais no contexto das atividades de um estabelecimento sito no território dos 28 Estados-membros da União Europeia, quer este tratamento ocorra dentro ou fora da União.
Se no contexto das atividades que exercem, estas empresas tratarem dados pessoais recolhidos por meios automatizados (ou não automatizados), elas ficam obrigadas a prestar contas sobre todas as ações que envolvem esse tratamento e sobre as políticas de privacidade dadas às pessoas que os forneceram.
Isto quer dizer que todas as atividades de tratamento de dados pessoais terão de ser registadas de forma detalhada. As empresas terão de dizer quais os dados que são guardados, como são registados, para que são usados, como são tratados, armazenados e durante quanto tempo.
O Regulamento Geral de Proteção de Dados aplica-se também a empresas ou organizações subcontratadas que não atuem no espaço europeu e àquelas que, não sendo da UE, tratam dados de cidadãos da União.
O que passa a ser obrigatório com o RGPD?
a) O destino que é dado aos dados pessoais tem de ficar muito claro para o seu titular;
b) A empresa compromete-se a cumprir o que prometeu ao titular fazer com os seus dados;
c) A quantidade de dados recolhidos vai ser menor por defeito: a proteção de dados passa a fazer parte do desenho do próprio sistema de recolha e tratamento (privacy by design) e exige-se a proteção de dados por defeito (privacy by default);
d) Passa a ser obrigatória a neutralidade tecnológica e das técnicas utilizadas no tratamento;
e) Os sistemas de recolha e tratamento têm de cumprir níveis de segurança mais apertados que garantam uma maior resistência a acidentes e ações maliciosas/ ilícitas que podem comprometer a autenticidade, integridade e confidencialidade dos dados.
O que muda para os cidadãos?
a) Vai ser tão fácil remover o consentimento para o tratamento de dados pessoais como é dá-lo;
b) As opções pré-preenchidas serão substituídas por opções que o titular tem de preencher pessoalmente;
c) São reforçados os seus direitos a opor-se ao tratamento dos seus dados, a ser esquecido, à limitação do tratamento, à retificação, à portabilidade e ao acesso;
d) Nenhuma decisão de qualquer entidade sobre o titular, pode ser tomada com base exclusiva no tratamento automatizado dos seus dados;
e) O utilizador adquire o direito de apresentar reclamação a uma autoridade de controlo.
O que muda nas empresas e na administração pública com o RGPD?
É criada a figura do Encarregado de Proteção de Dados, obrigatória para os organismos públicos (exceto tribunais no exercício das suas funções), empresas ou organizações que fazem controlo regular e sistemático dos titulares dos dados, e empresas ou organizações cuja principal atividade seja o tratamento de dados sensíveis.
5 funções do Encarregado de Proteção de Dados
1. Monitorizar o cumprimento do regulamento dentro da empresa;
2. Identificar os dados que existem na empresa e o tratamento que é feito. Deverá conseguir responder a perguntas como: que tipos de dados existem, como estão organizados, estão armazenados na empresa, fora ou na cloud, qual é a sua finalidade, qual é o plano para a sua conservação, quem tem acesso a eles, etc.;
3. Ele é o ponto de contacto entre a empresa e a entidade controladora e fiscalizadora, a Comissão Nacional de Protecção de Dados (CNPD);
4. Em determinadas situações, é obrigado a notificar violações de dados pessoais à autoridade de controlo e aos titulares dos dados;
5. Para as empresas ou organizações está prevista a aplicação de coimas em caso de incumprimento das disposições do RGPD. As coimas poderão atingir 20 milhões de euros ou 4% do volume de negócios anual da empresa em causa.
Uma vez que a legislação nacional sobre a matéria ainda não foi aprovada, não se sabe, ainda, ao certo como vai ser feita esta fiscalização. Tudo indica que vai ficar a cargo da CNPD, mas o que já é definitivo é que o RGPD veio para ficar – custe o que custar às empresas. Estas vão ter de encarar os cuidados a ter com a proteção de dados como uma parte integrante dos encargos do seu negócio.
Veja também: