RGPD: a quem se aplica? O Regulamento Geral de Proteção de Dados aplica-se a uma empresa ou organização que efetue o tratamento de dados pessoais, no âmbito da sua atividade, de cidadão residentes na União Europeia.
Nem que a empresa ou organização seja constituída por uma pessoa apenas, se houver tratamento de dados destes cidadãos, terá de o fazer de acordo com o novo Regulamento que tem caráter obrigatório e poder vinculativo nos 28 Estados-membros da UE.
O RGPD garante aos cidadãos europeus um enquadramento legal que os protege contra o uso abusivo dos seus dados pessoais. Cabe às empresas garantir que o regulamento é cumprido para não se sujeitarem a coimas que podem atingir, nos casos mais graves, os 20 milhões de euros ou o equivalente a 4% da faturação anual da empresa em falta.
Mas existem alguns requisitos e condições que deve conhecer para saber se o seu negócio ou empresa vai ser afetado pelo novo regulamento.
RGPD: a quem se aplica?
Empresas que tratem dados pessoais
Dados pessoais são toda e qualquer informação que possa ser utilizada para identificar um indivíduo. O nome, apelido, dados de localização, endereço de IP, morada, telefone ou e-mail são considerados dados pessoais e podem ganhar o estatuto de “dados pessoais sensíveis” se identificarem a origem racial e étnica de um indivíduo, as suas opiniões políticas ou crenças religiosas, a sua orientação sexual ou o seu estado de saúde.
Se a atividade principal da sua empresa ou negócio envolve a recolha, o registo, a conservação, a consulta e a divulgação deste tipo de dados, essa atividade está identificada como uma operação de tratamento de dados e terá de se submeter ao RGPD. A questão importante para saber se o RGPD se aplica à sua empresa ou não, está mesmo na expressão “atividade principal”.
Todas as empresas, para que consigam funcionar, precisam obter dados pessoais dos seus clientes e dos seus colaboradores, seja para manter relações laborais com fornecedores ou empregados, ou para manter relações comerciais com indivíduos a quem vendem ou prestam serviços.
São, normalmente, dados utilizados para fazer o tratamento de salários ou faturação. Este tipo de dados não entra no âmbito do RGPD. Faz parte da recolha de dados pessoais abrangidos pela legislação laboral ou financeira de cada país e serve para garantir o funcionamento das respetivas atividades.
Mas se as empresas utilizarem esses dados pessoais para outros fins, elas passam a estar abrangidas pelo regulamento. Um exemplo típico é o caso das ações de marketing personalizado levadas a cabo com recurso a dados que o cliente forneceu para comprar um produto o contratar um serviço.
Com o RGPD, este tipo de ações só pode ser possível se o visado consentir no uso dos seus dados para esse fim, caso contrário, a empresa que as faz, poderá estar sujeita a uma coima. E a aplicação do RGPD tem efeito não só para os dados recolhidos depois de maio de 2018, como também para os dados que as empresas já possuíam.
Só na União Europeia
Esta legislação aplica-se a todas as organizações, privadas e públicas, que estejam estabelecidas em território da União Europeia (casa mãe ou sucursais) e aí comercializem os seus produtos e serviços, pagos ou gratuitos.
Aplica-se também a empresas que subcontratem outras empresas para fazer o tratamento de dados fora da UE e empresas que estão fora do território da União, mas atuam lá dentro.
Todas se mantêm sujeitas ao RGPD desde que os dados tratados sejam sobre cidadãos da UE. Incluem-se neste grupo as empresas que, mesmo não comercializando serviços ou produtos, monitorizam comportamentos que ocorrem dentro da UE como as empresas de estudos de mercado.
Encarregado de Proteção de Dados: a quem se aplica?
A figura do EPD é obrigatória nos organismos públicos e empresas privadas que processam dados pessoais considerados sensíveis, que tratem dados pessoais em grande escala ou organizações que exijam controlo regular e sistemático dos titulares dos dados.
A quem não se aplica?
Empresas sediadas fora da UE e que prestam serviços a clientes também fora da UE. Esses clientes podem utilizar os seus serviços, mesmo quando viajam para outros países dentro da UE, sem que a empresa que os fornece se tenha de sujeitar às regras do RGPD.
O tratamento de dados sobre empresas também não fica ao abrigo do Regulamento desde que no meio dos dados das empresas não surjam dados pessoais. Regressando ao exemplo do marketing dirigido, as empresas podem utilizar o e-mail geral de outras empresas para fazer ações de marketing não solicitadas, mas não para o e-mail pessoal de algum dos colaboradores dessa empresa se ele não tiver solicitado essa ação de marketing.
Veja também: