27 Abr Dados pessoais
Regulamento Geral de protecção de dados pessoais (RGPD)
O que vai mudar relativamente à protecção de dados pessoais?
No próximo dia 25 de Maio entra em vigor o Novo Regulamento Geral de protecção de dados pessoais (RGPD) que se assume como um ambicioso diploma que, embora respeitando os objectivos e princípios já existentes, pretende estabelecer um novo modelo que garanta os direitos e liberdades fundamentais das pessoas singulares no que toca à protecção dos seus dados pessoais.
O RGPD tem em conta que a evolução tecnológica e a globalização e as novas necessidades protecção de dados pessoais , nomeadamente no campo das redes sociais, como o facebook, twiter, LinkedIn, etc, assim como o armazenamento em massa em sistemas de cloud sejam de sistemas empresariais, públicos ou privados ( como exemplo o icloud da Apple).
O RGPD procurou assim clarificar conceitos, especificando os direitos dos titulares de dados mas também as obrigações dos responsáveis pelo tratamento de dados, aumentando-se a transparência enquanto se cria um modelo muito assente numa forte exigência no que toca à autorização para recolha, tratamento e protecção de dados pessoais.
No que toca à tão aguardada legislação nacional, foi aprovada em Conselho de Ministros no final do findo mês de Março a Proposta de lei nº 120/XIII, relativamente à qual (embora ainda se desconheça se a lei que daí vier a ser aprovada respeitará a generalidade da proposta) resulta desde já uma importante preocupação e reconhecimento – o de que o RGPD foi essencialmente pensado para a protecção de dados pessoais dos cidadãos em grande escala, por grandes empresas e serviços da sociedade de informação, o que culmina na conclusão de que algumas das soluções ali implementadas se revelam desajustadas ao tecido empresarial nacional e para a Administração pública (pese embora desde já se note que é esta última que merece maior protecção).
Devido à grande amplitude da matéria cada entidade deverá procurar aconselhar-se com o seu advogado para um aconselhamento quanto à adopção prática do RGPD no sentido de protecção de dados pessoais, procurando aqui apenas responder-se a algumas questões que possam surgir, ainda que de modo muito genérico, com vista a esclarecer alguns conceitos e princípios essenciais da nova legislação.
Devo aguardar pela entrada em vigor da legislação nacional para cumprir as regras do RGPD?
O RGPD tem aplicação directa, entrando a obrigatoriedade de aplicação das suas regras em vigor a 25 de Maio de 2018, pelo que a entrada em vigor da legislação nacional em nada afecta a obrigação de as empresas deverem cumprir com as normas de protecção de dados pessoais a partir de tal data.
O que são dados pessoais nos termos da RGPD ?
O RGPD considera como dados pessoais recolhidos, os relativos a vida privada, profissional ou social de uma pessoa.
Tome-se de exemplo: são dados os elementos identificativos da pessoa , características físicas , dados económicos , dados profissionais e académicos, características relativas à saúde da pessoa ou patrimoniais – direito de propriedade, imoveis.
Em que circunstâncias posso recolher, tratar e conservar dados pessoais?
Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas e não sejam posteriormente tratados de forma incompatível com as finalidades da recolha;
Apenas podem ser recolhidos os dados pessoais adequados, pertinentes e não excessivos relativamente às finalidades da recolha;
Os dados pessoais recolhidos devem ser exatos e atualizados;
Os dados pessoais apenas devem ser conservados durante o período necessário para a prossecução das finalidades da recolha/tratamento.
Posso recolher e/ou tratar qualquer tipo de dados pessoais?
É proibido a recolha de dados pessoais, se não forem vitais para a actividade, como origem, racial, étnica, orientações sexuais, características físicas – elementos de identidade física ( ex: altura, peso , etc.) , psicológica, genética (dados genéticos e biométricos , considerações intimas – crenças, opiniões, posições politicas, filosóficas, filiação sindical, e religiosas , características relativas à saúde da pessoa,.
É necessário consentimento para a recolha e tratamento dos dados? Que tipos de cuidados são aconselháveis?
O consentimento é indispensável, devendo ser dado mediante um acto positivo expresso ou seja , sendo necessária uma manifestação de vontade totalmente livre e devidamente esclarecida, de modo a que o titular conheça inequivocamente em que consiste o tratamento de dados que lhes dizem respeito e quais as respectivas finalidades.
Assim, é aconselhável a utilização de uma declaração escrita, que pode até ser em formato electrónico, pese embora a declaração oral não esteja afastada.
Uma das palavras-chave neste ponto é a transparência, numa dupla vertente. Por um lado o titular dos dados deve conhecer de forma clara que os dados foram recolhidos e de que forma serão ou poderão vir a ser tratados e, por outro, as informações e comunicações relacionadas com esse tratamento devem ser de fácil acesso e compreensão, pelo que a utilização de uma linguagem clara e simples é essencial na avaliação deste ponto.
O titular dos dados pessoais pode aceder aos mesmos depois de autorizada a respectiva recolha e tratamento?
O titular pode obter a título gratuito a sua rectificação, o seu apagamento ou exercer o direito de oposição.
Por um lado o responsável pelo tratamento deverá fornecer os meios necessários para esse acesso, devendo privilegiar a via electrónica, em especial quando os dados forem tratados por essa via.
Os pedidos do titular devem ser respondidos no prazo máximo de um mês e o pedido apenas pode ser recusado de forma fundamentada.
Todavia é de notar que a possibilidade de exercício deste direito não legitima o responsável pelo tratamento a conservar os dados para essa finalidade.
Posso arrepender-me da autorização dada ( direito ao esquecimento)?
Relativamente a este ponto é de particular importância o direito do titular dos dados a que os seus dados pessoais sejam apagados e deixem de ser objecto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, se o consentimento for retirado ou se opuserem ao respectivo tratamento.
Este direito ganha especial relevo se pensarmos em autorizações concedidas em criança em que o conhecimento acerca das consequências respeitantes ao tratamento é menor.
Com grande importância no que toca ao exercício deste direito temos a possibilidade de o titular dos dados receber aqueles que lhe digam respeito, num formato estruturado, de uso corrente e leitura automática e a transmiti-los a outro responsável pelo tratamento.
É necessária especial atenção às medidas de segurança no que toca à conservação e tratamento dos dados?
O RGPD indica que o responsável pelo tratamento deve avaliar os riscos que o tratamento implica e aplicar medidas que o diminuam, indicando como exemplo a cifragem. Deve ser tida em conta a necessidade de encontrar um equilíbrio, considerando as técnicas ao dispor, respectivos custos e natureza dos dados pessoais a proteger, pelo que as medidas de segurança a adoptar variam de caso para caso.
Na verdade, mais uma vez estamos perante medidas pensadas essencialmente para tratamento em grande escala, sendo que neste caso o RGPD aponta inclusivamente para uma avaliação ou estudo prévio do impacto sobre a protecção de dados.
Ainda assim tais disposições não devem ser ignoradas por nenhum responsável pelo tratamento de dados, sendo apenas importante encontrar o equilíbrio no caso concreto, sendo que naturalmente as medidas de segurança que se podem considerar adequadas aumentam conforme o volume ou sensibilidade da informação recolhida e tratada.
Num sentido muito prático é necessário ter em conta que caso exista uma violação de dados pessoais de onde resulte um elevado risco para os direitos e liberdades do titular de dados o responsável deve transmitir tal facto com urgência ao titular dos dados, incluindo recomendações para atenuar os eventuais efeitos adversos.
É também importante ter em conta que o responsável pode ser chamado a reparar danos que o tratamento possa causar ao titular dos dados, pelo que naturalmente a adopção de medidas não só que avaliem a correcta aplicação do regulamento, como também que garantam a segurança dos sistemas é um aspecto importante na limitação desta responsabilidade.
Preciso de um encarregado de protecção de dados? Quem pode exercer tal função?
Nos termos do RGPD a designação de um encarregado de protecção de dados pessoais . apenas é obrigatória quando:
a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados (origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa) e de dados pessoais relacionados com condenações penais e infrações.
Quanto ao exercício da função o regulamento é muito claro dizendo apenas que este é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e práticas de protecção de dados.
Mais esclarece o RGPD que tanto pode ser um elemento do pessoal da entidade responsável pelo tratamento ou de um subcontratante, como exercer tais funções ao abrigo de um contrato de prestação de serviços.
A certificação por entidade externa é obrigatória para garantir o cumprimento das regras do RGPD?
Nos termos do RGPD a certificação do cumprimento das medidas de protecção de dados pessoais é voluntária.
Por outro lado é muito importante saber que a mesma não diminui a responsabilidade dos responsáveis pelo tratamento ou subcontratantes, nem limita de qualquer modo o papel da autoridade de controlo, pelo que é absolutamente incorrecto pensar que uma entidade certificada é garante de cumprimento com a legislação.
Na verdade o RGPD apenas aponta a certificação como um dos possíveis caminhos com vista a incentivar melhores práticas no cumprimento da protecção de dados. Por outro lado pode ser usado como elemento probatório para demonstrar o cumprimento das obrigações do RGPD, mas em circunstância alguma produz prova plena ou sequer presunção do cumprimento das mesmas, pelo este procedimento deve ser encarado com muita cautela, sempre com uma ponderação de custo / benefício.
Em Portugal a proposta de Lei para a protecção de dados aponta o IPAC como autoridade competente para acreditação dos organismos de certificação nesta matéria.
Breve nota sobre as coimas na proposta para a legislação nacional:
Quais as coimas que estão previstas na proposta de lei?
A Proposta de lei nº 120/XIII aponta para coimas a começar nos € 500,00 (quinhentos euros) – para pessoas singulares, € 1.000,00 (mil euros) para PME’s e € 2.000,00 (dois mil euros) para grandes empresas, podendo ascender, respectivamente para cada uma dessas entidades a: € 500.000,00 (quinhentos mil euros), € 2.000.000,00 (dois milhões de euros) ou 4% do volume de negócios anual, a nível mundial, conforme o mais elevado e € 20.000.000,00 (vinte milhões de euros) ou 4% do volume de negócios anual, a nível mundial, conforme o mais elevado.
Naturalmente que tudo depende de a contra-ordenação ser considerada grave ou muito grave, bem como de outros critérios, que têm em conta aspectos como a dimensão e situação económica do agente e ainda o caracter continuado da infracção.
Ainda assim os limites máximos apontados visam respeitar o RGPD, visto que a própria definição de PME a nível europeu não é a mais ajustada para o tecido empresarial nacional – A categoria das micro, pequenas e médias empresas (PME) é constituída por empresas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total anual não excede 43 milhões de euros.
Parece-nos assim que será este um dos pontos em que o Governo terá pensado especialmente quando reconhece que as soluções do RGPD nem sempre se revelam adequadas à generalidade do tecido empresarial nacional.
Quais os prazos de prescrição da contra-ordenação previstos na proposta de lei?
De notar ainda que são propostos prazos de prescrição de dois e três anos, quando se trate de contra-ordenação grave ou muito grave, respectivamente, no que toca ao procedimento, bem como prazos similares no que toca à própria coima, conforme seja igual ou inferior a € 100.000,00 (cem mil euros) ou superior a esse montante, respectivamente.
Solução polémica a este propósito é a não aplicação de coimas às entidades públicas, solução que está pensada, pelo menos, para um período inicial de 3 anos, notando-se aqui uma clara discriminação relativamente às entidades privadas que têm de cumprir com a legislação desde a data da sua entrada em vigor.