Até que ponto estamos protegidos?
 

O que é o RGPD? O que é o RGPD? O que é o RGPD?

 
 

O Regulamento Geral de Proteção de Dados (RGPD), que entra em vigor a 25 de maio de 2018, vem substituir a atual diretiva e lei de proteção de dados pessoais, que data de 1995. Isso mesmo. Da última vez que a União Europeia discutiu sobre proteção de dados e privacidade, as disquetes ainda eram uma invenção “cool”.

São 99 artigos, divididos por 10 áreas de atuação. O objetivo? Reforçar a proteção dos cidadãos europeus, no que diz à respeito a privacidade e dados pessoais e harmonizar a lei em todos os países europeus.

A quem se aplica?

O Regulamento Geral de Proteção de Dados é aplicável a todas as empresas, organizações e indivíduos que façam tratamento de dados pessoais dentro da União Europeia – desde as microempresas às grandes multinacionais (mesmo que não sejam europeias), no setor público e privado.

O que são dados pessoais?

 
Foto
 

De acordo com o RGPD, dados pessoais são “informação relativa a uma pessoa singular identificada ou identificável”, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica (e-mail, endereço de IP, testemunhos de conexão - cookies), dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa. Enquanto o nome de uma pessoa identifica obviamente a mesma, a verdade é que algumas combinações de identificadores indiretos também permitem essa identificação

Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo RGPD.

Dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.

Já os dados pessoais considerados “sensíveis” estão sujeitos a condições de tratamento específicas. Estes dados não podem ser alvo de tratamento, a não ser que, por exemplo:

  • o titular dos mesmos tenha dado consentimento explícito;
  • os dados sejam manifestamente tornados públicos pelo sujeito;
  • que o seu tratamento seja necessário para proteger os seus interesses vitais (em caso de incapacidade do sujeito, por exemplo);
  • o tratamento seja necessário para o cumprimento da lei, ao abrigo do interesse público na área da saúde pública, etc.

Que direitos ganhamos?

O RGPD pretende devolver o poder aos cidadãos e permitir-lhes ter mais controlo sobre os seus próprios dados, garantindo-lhes novos direitos.

 
Foto
 

O encarregado de proteção de dados

Empresas e organismos públicos, bem como empresas que lidam com dados pessoais considerados sensíveis ou em grande escala, têm de nomear um Encarregado de Proteção de Dados (Data Protection Officer).

João Leitão Figueiredo, da PLMJ, considera que este encarregado é, mais do que um novo trabalhador, uma nova função dentro das empresas – que, dependendo da dimensão das mesmas, pode implicar mais do que uma pessoa responsável.

“Há uma percentagem significativa de empresas em Portugal que têm de nomear um encarregado de proteção de dados e não têm nos seus quadros alguém com este tipo de capacidade técnica”, explica o advogado. Nesse caso, a empresa pode contratar alguém para esta função ou dar formação a alguém dos quadros da empresa – em Portugal, o especialista vê mais empresas a seguir esta segunda tendência, até porque há um “défice claro de profissionais verdadeiramente capacitados para desempenhar estas funções”.

O que acontece se uma empresa não estiver em conformidade com o RGPD?

O RGPD prevê aplicação de sanções às grandes empresas até 20 milhões de euros, ou 4% do volume de negócios anual, para contraordenações muito graves.

Quando esteja em causa a falta de consentimento de crianças ou falhas na proteção de dados, o RGPD prevê coimas até 10 milhões de euros ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

 
 

RGPD prevê sanções até 20 milhões de euros
ou 4% do volume de negócios

 
 

Para além disso, as empresas incumpridoras, especialmente nos casos de violação dos seus sistemas, podem ainda ser obrigadas a pagar os prejuízos causados aos titulares dos dados, acrescidos de juros, caso se verifiquem.

No entanto, nem todos os incumprimentos do RGPD levarão a coimas. Além do poder de multar, a autoridade de supervisão nacional tem também o poder corretivo de aplicar outras sanções, como advertências, reprimendas e a suspensão do tratamento de dados.

 

Próximos capítulos

Top