RGPD: o que muda na legislação europeia de privacidade? O novo Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (GDPR) teve a sua aplicação definitiva no dia 25 de maio de 2018. A nova legislação aplica-se não só a todos os Estados-membros, mas também a qualquer outro país que trate dados pessoais de cidadãos da União Europeia.
Todas as empresas estão obrigadas a agir em conformidade com a nova legislação, sob pena de poderem ter de pagar coimas de até 20 milhões de euros ou de 4% do seu volume de negócios global anual. O principal objetivo da nova legislação é garantir que o direito dos cidadãos à proteção de dados pessoais é respeitado.
RGPD: o que muda em relação à legislação anterior?
Não se tratando de uma diretiva, mas de um regulamento, o RGPD tem caráter obrigatório e poder jurídico vinculativo, e o seu cumprimento será controlado e fiscalizado, em Portugal, pela Comissão Nacional de Proteção de Dados (CNPD).
Trata-se da mudança mais importante na regulação de privacidade de dados dos últimos 20 anos e, em linhas gerais, vem reforçar os direitos fundamentais que as pessoas singulares têm sobre os seus dados pessoais, sendo que exige que as organizações tenham especiais cuidados com a proteção de dados.
O RGPD vem, assim, substituir a Diretiva 95/46/CE, datada de 1995 (transposta para a ordem jurídica portuguesa pela Lei n.º 67/98) e a subsequente, relativa à Proteção de Dados Pessoais, de 2003.
Assim sendo, além de exigir que a obtenção de consentimento por parte do utilizador – para receber qualquer tipo de comunicação ou para processamento de dados pessoais por parte de uma empresa -, seja um processo totalmente claro e transparente, as principais novidades em relação à legislação anterior são as seguintes.
1. O cidadão tem o direito de “ser esquecido”
RGPD: o que muda na legislação europeia de privacidade? Uma das principais novidades é o facto do cidadão passar a ter o direito de “ser esquecido”. Ou seja, quando um cidadão não mais quiser que os seus dados sejam processados por determinada empresa, a informação terá de ser apagada.
No novo regulamento lê-se que “a medida pretende proteger a privacidade dos indivíduos, e não de apagar eventos passados ou restringir a liberdade à imprensa“.
“O titular tem o direito de obter o apagamento dos seus dados pessoais e a organização tem a obrigação de o fazer, sem demora injustificada, quando se aplique um dos seguintes motivos:
- Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
- O titular retira o consentimento em que se baseia o tratamento dos dados, se não existir outro fundamento jurídico para o referido tratamento;
- O titular opõe-se ao tratamento quando não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe-se ao tratamento;
- Os dados pessoais foram tratados ilicitamente;
- Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;
- Os dados pessoais foram recolhidos no contexto da “oferta de serviços da sociedade da informação“, lê-se ainda no RGPD.
Em termos práticos, as empresas terão de tornar fácil ao cidadão remover o consentimento de processamento dos seus dados ou mesmo apagar a sua conta.
2. Tem de ter acesso facilitado aos dados pessoais
Este é outro dos aspetos de referência do novo regulamento. Os cidadãos terão acesso a mais informação sobre a forma como os seus dados são processados, informação esta que terá de ser clara e acessível.
3. Tem o direito a transferir os seus dados para outro prestador de serviços
O novo direito à portabilidade dos dados vai tornar mais fácil a transmissão de dados pessoais entre fornecedores de serviços. Isto porque o cidadão passa a poder transferir os seus dados para outro prestador de serviços.
4. Tem o direito a saber quando os seus dados foram alvo de hackers
As empresas estão obrigadas a notificar, no prazo de 72 horas, a Autoridade Nacional de Controlo de Dados Pessoais quando existe uma violação dos dados que ponha os indivíduos em risco.
Adicionalmente, devem igualmente comunicar aos cidadãos afetados que os seus dados foram violados, para que estes possam tomar as medidas que considerarem apropriadas.
5. Tem o direito de oposição
Além do direito do acesso e de exigir informações sobre os dados que estão a ser guardados, o cidadão tem ainda o direito corrigir dados errados ou mesmo de se opor à divulgação ou partilha dos seus dados pessoais para fins de marketing direto.
6. Tem o direito à proteção dos dados “por design” e “por definição”
Proteção de dados “por design” significa que cada novo serviço ou negócio que faça uso de dados pessoais está obrigado a tomar em consideração a proteção desses dados. A este respeito, as empresas terão de ser capazes de mostrar que têm segurança apropriada.
Em termos práticos, isto significa que os departamentos de tecnologias de informação devem ter em conta a privacidade dos dados no “design” da tecnologia do produto ou serviço.
Proteção de dados “por definição”, significa que as empresas terão de se certificar que só os dados pessoais absolutamente necessários para determinada ação serão processados.
Em termos práticos, as configurações de privacidade dos dados dos cidadãos devem estar, por defeito, no nível mais alto de segurança. Além disso, os dados pessoais devem, por definição, apenas ser mantidos pelo espaço de tempo necessário para providenciar determinado produto ou serviço.
O novo regulamento traz, assim, vantagens para os cidadãos, mas vai ter um impacto significativo nas empresas, sejam púbicas ou privadas.