O REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS

O Regulamento Geral sobre a Proteção de Dados foi publicado no jornal oficial da União Europeia no dia 4 de maio de 2016. Este diploma legal revogará a legislação atualmente em vigor sobre a proteção de dados pessoais, publicada em 1995 e todas as suas regras terão de estar implementadas pelas empresas até ao dia 28 de maio de 2018.

O objetivo do Regulamento é o de proteger a privacidade dos cidadãos e garantir a livre circulação de dados pessoais dentro da União Europeia.

Em paralelo com a aplicação de novos direitos para os cidadãos, o novo regulamento liberta as empresas dos pedidos de autorizações de tratamento de dados junto da Comissão Nacional de Proteção de Dados (CNPD), mas definem novos requisitos no processamento da informação, uma vez que as empresas têm de manter registos sobre tratamentos de dados que efetuam, realizar auditorias, adotar os princípios da proteção de dados desde a conceção (privacy by design) e da proteção de dados por defeito (privacy by default).

Ao nível do relacionamento online com clientes, as políticas de privacidade terão de ser redigidas numa linguagem clara e percetível.

Além disso, prevê o Regulamento a obrigação das empresas, em determinadas circunstâncias, procederem à nomeação de um encarregado da proteção de dados (data protection officer). O DPO será o responsável pela implementação do sistema de proteção de dados nas empresas e poderá ser funcionário da mesma ou um terceiro externo.

Sempre que existam quebras de segurança estas terão de ser comunicadas às autoridades e as empresas serão obrigadas a realizarem periodicamente os PIA’S (privacy impact assessments).

No contexto das mudanças que o diploma consagra deverão ser adotadas medidas que salvaguardem os direitos fundamentais dos trabalhadores, com especial relevo para a transparência no tratamento dos dados destes, as transferências dos mesmos em contexto de grupo empresarial e os sistemas de controlo no local de trabalho, as quais deverão começar desde já a ser pensados internamente, de modo a permitir a sua conclusão e atempada implementação, tendo em conta o horizonte temporal de plena entrada em vigor do Regulamento.

O Regulamento prevê que o consentimento não deverá constituir, por si só, fundamento jurídico válido para o tratamento de dados pessoais dos trabalhadores, assim parecendo restringir o leque de fundamentos de licitude às situações em que o tratamento de dados seja necessário para a execução do contrato de trabalho, ou para o cumprimento de obrigações legais a que a entidade empregadora esteja sujeita, não as fazendo depender de tal consentimento.

Outras novidades do novo Regulamento são o reforço de conceitos básicos como o direito a "ser esquecido", a previsão do direito à portabilidade dos dados pessoais, a concretização do conceito de "definição de perfis" e a previsão expressa da necessidade de registo de todas as atividades de tratamento de dados, incluindo os dos trabalhadores, assim impondo um conjunto alargado de obrigações às empresas, que determinam a necessidade de adoção interna de medidas eficazes de "compliance".

Como já fizemos notar, em vez das autorizações, o novo regulamento aposta na fiscalização – e na aplicação de coimas para os prevaricadores - o regime sancionatório é bastante exigente, com coimas que no caso de violações de menor gravidade poderão atingir 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde a empresa se insere, e nos casos mais graves, podem ascender a 20 milhões de euros ou 4% do volume de negócios mundial.

A Delgado e Associados dispõe de um conjunto de advogados especialistas na matéria de proteção de dados que estão disponíveis para auxiliar as empresas na implementação das novas regras trazidas pelo regulamento geral de proteção de dados.