Introdução
O Regulamento Geral de Proteção de Dados (RGPD), que será aplicado de forma direta e obrigatória a partir de 25 de Maio de 2018, em conjunto com uma Lei de execução ainda por aprovar, tem como objetivo criar maior transparência, segurança e privacidade na forma como as empresas recolhem, processam e usam os dados pessoais dos cidadãos. Das disposições do regulamento resultam diversos deveres para as empresas que fazem tratamento de dados pessoais ( i.e. nome, morada, e-mail, idade, estado civil etc.) e de forma mais intensa em relação aos chamados dados pessoais sensíveis ( orientação sexual, condenações penais, filiação sindical ou infrações).
Por outro lado os cidadãos passam a ter uma serie de direitos quanto aos organismos que fazem tratamento de dados, nomeadamente o direito de saber se estão a ser tratados dados pessoais que lhes digam respeito; o direito a obterem a retificação dos seus dados pessoas que estejam desatualizados, incorretos ou incompletos; o direito ao apagamento/esquecimento; o direito à limitação do tratamento; o direito à portabilidade dos seus dados pessoais; e o direito de se opor ao tratamento dos seus dados pessoais.
De seguida respondemos às principais questões que surgem com a entrada em vigor do RGPD e que permitem perceber se está sujeito ao cumprimento do mesmo e que medidas adotar.
A sua empresa/ serviço/ instituição está sujeita à disciplina do Regulamento Geral da Proteção de dados?
São três os requisitos do âmbito de aplicação do RGPD:
- Tratamento de dados pessoais (dados relativos a pessoas singulares identificadas ou identificáveis);
- Empresa como responsável pelo tratamento; e,
- Empresa se encontre dentro do espaço da União Europeia (independentemente de onde é feito o tratamento dos dados);
- Empresas que se encontrem fora da União Europeia (“UE”), se os titulares dos dados se encontrem na União Europeia, quanto ao tratamento de dados sejam relativos a ofertas de bens e serviços a residentes da UE e controlo do comportamento dos residentes da UE.
Em caso afirmativo, quais são as regras a seguir no tratamento de dados pessoais que possua?
- Os dados pessoais têm de ser objecto de um tratamento lícito, leal e transparente, de forma aos seus titulares conseguirem perceber como os dados são recolhidos, utilizados, consultados ou sujeitos a qualquer tipo de tratamento.
- Que os dados são recolhidos para finalidades determinadas, explicitas e licitas.
- Adequados, pertinentes e limitados à finalidade que se pretende.
- Conservados de uma forma não anonima após o cumprimento da finalidade para a qual foram obtidos
- Tratados de uma forma que garanta a sua segurança contra tratamentos não autorizados ou ilícitos.
Estes princípios, que incidem sobre o tratamento de dados pessoais, têm de ser cumpridos e ser possível demonstrar o seu cumprimento, exigindo-se assim uma política de data governance para apresentar como prova do cumprimento.
Em que situações se considera que o tratamento de dados é lícito?
- Obtenção do consentimento do titular dos dados pessoais para o seu tratamento para uma finalidade especifica;
- Tratamento desses dados é necessário para execução de um contrato em que figure como titular do mesmo;
- O tratamento é necessário para o cumprimento de uma obrigação jurídica;
- Tratamento é necessário para a defesa de interesses vitais do titular;
- O tratamento é necessário para a prossecução de interesses legítimos do detentor e não colida com direitos liberdades e garantias do seu titular.
Como implementar o RGPD na minha empresa/serviço/instituição?
- Designar um responsável pelo compliance (DPO quando obrigatório ou uma pessoa interna ou externa à empresa que possa desempenhar estas funções);
- Levantamento e mapeamento de todos os tratamentos de dados pessoais (agrupar todos os dados em conjuntos identificáveis, funcionais e com riscos similares ao nível da sua proteção e conservação para saber que tratamento dar a cada categoria);
- Garantir a prestação de informação aos titulares dos dados pessoais;
- Solicitar novo consentimento, nos termos do regulamento, aos titulares dos dados pessoais para o seu tratamento.
- Documentar a conformidade com o RGPD no caso do órgão de fiscalização lhe exigir essa prova; e
- Implementar medidas de segurança que minimizem/eliminem potenciais “ataques” ou acesso indevido aos dados pessoais.
- Notificar a entidade de controlo de qualquer violação dos dados que ocorra no prazo de 72 horas (e ao titular sempre que essa violação que possa representar um alto risco para os seus direitos, liberdades e garantias).
Quais são as consequências da não aplicação do RGPD no tratamento de dados pessoais?
Dependendo da gravidade da violação, a autoridade de controlo pode:
- Fazer advertências;
- Fazer repreensões;
- Ordenar ao responsável pelo tratamento que satisfaça os direitos dos titulares dos dados pessoais;
- Ordenar a adoção de uma determinada conduta e indicação de um prazo para a sua execução;
- Ordenar a retificação ou apagamento de dados pessoais ou a limitação do tratamento;
- Aplicar coimas que podem atingir o valor equivalente a 4% do volume de negócios anual, nos casos mais graves.
Segurança e acesso às bases de dados.
As novas regras do novo regime do RGPD, implicam para os utilizadores das bases de dados novos desafios, designadamente quanto à forma de arquivo, acesso e segurança dos dados compilados.
Apenas a título de exemplo, os dados bancários, de seguros, fiscais, da segurança social, de fornecedores de bens e serviços, de como comunicações, energia, fornecimento de água, cartões de fidelização de clientes ou outros, importa que os mesmos estejam concentrados em suportes únicos e a limitação à sua consulta seja restrita e, justificada.
A implementação de um controlo de acesso através de palavras passe por utilizador, eventualmente com diferentes níveis de acesso e a possibilidade desses acessos ficarem registados, será sempre uma boa prática a adotar pelas empresas.
Departamento(s) de Tecnologia da informação.
Os departamentos de IT são parte fulcral na preparação das empresas, uma vez que a maioria do trabalho é realizado através das novas tecnologias. Com o aumento do uso da Cloud, devem garantir que a informação armazenada está de acordo com o RGPD.
Tão importante como garantir que os softwares estão adaptados a esta nova realidade importa também assegurar que as rotinas de eliminação da informação obedecem a critérios de certeza e segurança
É fundamental implementar processos de segurança que incluam a possibilidade de notificação Clientes em caso de quebra de segurança ou sempre que se imponha por qualquer outro motivo.
Conclusão
O Regulamento menciona de forma clara o que pretende com esta nova regulamentação do tratamento de dados pessoais, a finalidade é obvia e tem que ver com a proteção dos direitos e liberdades dos titulares dos dados pessoais. No entanto, a forma de tornar os processos de tratamento de dados pessoais das empresas em conformidade com os princípios contidos no Regulamento não se apresenta simples e será tanto mais complexa quanto mais sensível forem os dados que se tenha para tratamento ou a sua suscetibilidade de violar direitos e liberdades dos seus titulares. As empresas que procedam ao tratamento de dados pessoais realizado em grande escala (ex: Unidades hospitalares, empresas de recursos humanos, empresas de segurança privada, seguradoras, bancos) estão sujeitos a regras específicas, como por exemplo a nomeação obrigatória de um DPO, e serão os organismos que mais dificuldade terão no mapeamento e categorização de todos os dados pessoais e no encontro de soluções de programas de compliance de forma a conseguirem cumprir com todas as disposições do Regulamento.
Este resumo não tem qualquer carácter vinculativo, foi escrito como artigo de análise e opinião e não dispensa a consulta, bem como o aconselhamento relativamente às medidas existentes e ou a implementar em cada utilizador de base de dados e em cada unidade de negócios. Recomendamos o aconselhamento jurídico, e caso pretenda contacte-nos para geral@fslegal.pt .
Maio de 2018,
FS Legal – Fonseca Santos & Associados – Sociedade de Advogados RL