Novo Regulamento Europeu de Proteção de Dados Pessoais

Quatro anos de trabalho e negociação ao nível europeu vêm agora culminar naquilo que se adivinha ser uma alteração drástica no paradigma das empresas e da Administração Pública no que respeita à forma de tratamento dos dados pessoais que recolhem no âmbito da respetiva atividade.

Trata-se de uma novidade legislativa diretamente aplicável e vinculativa para todo o tipo de empresas privadas e entes públicos (está abrangida toda e qualquer entidade que proceda à venda de produtos e à prestação de serviços, ainda que de forma gratuita, no território da UE, ou, simplesmente, que monitorize o comportamento de qualquer cidadão europeu ou efetue profiling), independentemente da sua dimensão e setor de atividade e que exigirá um rápido esforço de adaptação às inovadoras exigências que se fazem sentir, num campo regulado, como se vê, com um crescente rigor e precisão – o da proteção de dados pessoais.

O movimento foi no sentido de um contrabalanço entre cedências a antigas exigências, compensadas pela implementação de novos requisitos e procedimentos obrigatórios. Pode dizer-se que se pretendeu imprimir maior rigor e proteção neste campo, simultaneamente simplificando-o de certa forma.

Ou seja, para se obter a tão desejada desburocratização neste setor, que passa pela eliminação da obrigação de notificar ou pedir autorização prévia à Comissão Nacional de Proteção de Dados para tratamento de dados pessoais, os destinatários do Regulamento passam a estar adstritos ao cumprimento integral das obrigações nele previstas, assim se obtendo também a progressiva uniformização de procedimentos e legislação em toda a UE neste setor, muito embora as empresas apenas tenham que responder perante a autoridade de supervisão do país onde tenham o seu estabelecimento principal, ainda que haja cooperação e troca de informações entre esta autoridade e a de qualquer outro país em que um cidadão europeu efetue uma denúncia.

Entre as principais obrigações a que se acaba de aludir, podem destacar-se, designadamente:

• A designação obrigatória de um Data Protection Officer que será responsável pela monitorização e cumprimento integral do Regulamento na sua organização;
• O dever de notificação das violações de dados pessoais (data breaches) às autoridades competentes e, em certos casos, aos próprios titulares dos dados;
• A obrigação de manutenção de toda a documentação relacionada com o tratamento de dados pessoais, completa e atualizada, de forma a ser possível demonstrar às autoridades competentes que a entidade se encontra a cumprir com as obrigações do Regulamento;
• A realização obrigatória de avaliações de impacto sobre proteção de dados (privacy impact assessments) sempre que novas tecnologias, metodologias ou, por exemplo, campanhas de marketing sejam implementadas nas organizações, de forma a aferir a respetiva compatibilidade com as obrigações estabelecidas no Regulamento;
• O carácter livre, específico, informado e claro a que a obtenção do consentimento do titular dos dados pessoais passa a estar sujeita, obedecendo a determinados requisitos de forma, tais como o facto de tal consentimento ter que ser fornecido através de formulário próprio ou de uma ação positiva que poderá consubstanciar a concordância do tratamento;
• A garantia do chamado “direito ao esquecimento” a exercer pelo titular dos dados alvo de tratamento, que se consubstancia no facto de os cidadãos europeus poderem, livremente, solicitar a efetiva e completa eliminação dos seus dados pessoais;
• A garantia do chamado “direito de portabilidade”, que atribui aos cidadãos europeus a possibilidade de solicitar que o responsável pelo tratamento dos dados de determinada entidade os faculte a uma outra, indicada pelo cidadão, em formato claro e facilmente acessível;
• A extensão de algumas das supra referidas obrigações às entidades subcontratantes, não só passando a figurar como co-responsáveis pelo cumprimento das regras do Regulamento, como passando inclusive a ter obrigações diretas, as quais incluem (i) a implementação efetiva de medidas técnicas e organizacionais, (ii) a notificação imediata de data breach ao responsável pelo tratamento e; (iii) a nomeação de um Data Protection Officer dentro das suas organizações.

Além disso, também ao nível da organização interna das próprias entidades, é incontestável o impacto acentuado do novo Regulamento de Proteção de Dados Pessoais, levando a que estas tenham, necessariamente, que alterar os seus procedimentos internos em matéria de privacy compliance.

O Regulamento entra em vigor já a 24 de maio de 2016, e o prazo limite para as empresas e Administração Pública adaptarem os respetivos procedimentos internos às novas exigências europeias é 25 de maio de 2018, sob pena de enfrentarem avultadas coimas, que poderão ir até 20 milhões de euros, ou até 4% do volume de negócios anual total a nível mundial, consoante o que for maior.