RGPD

Hoje, dia 25 de maio de 2018, entra em vigor o Regulamento (UE) 2016/679 de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados – RGPD.  

O que é o RGPD?

Este diploma aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados e tem como objetivo defender os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais. E por dados pessoais, entende-se a informação relativa a uma pessoa singular identificada ou identificável – titular dos dados – informação essa que possa identificar o titular dos dados de forma direta ou indireta, por referência a um identificador. Estes identificadores podem ser, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Na prática, o RGPD aplica-se quando é efetuada uma das seguintes atividades com dados pessoais: recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. Significa, portanto, que o RGPD se aplica na generalidade a grande parte das empresas.

E o responsável pelo tratamento de dados já não pode tratar dados pessoais?

Sim, o responsável pelo tratamento de dados (Organização) pode fazê-lo de forma lícita, mediante algumas condições. Essas condições são de forma genérica o consentimento de forma livre, expresso e informado ou esclarecido; para efeitos de cumprimento de obrigações legais ou contratuais; entre outras específicas previstas no RGPD.

Quais são os princípios do tratamento de dados?

O tratamento de dados por uma determinada Organização está sujeito aos seguintes princípios: limitado às finalidades para que os dados pessoais foram recolhidos, transparência, licitude, lealdade, integridade, confidencialidade, minimização e exatidão dos dados, e limitação da conservação dos dados pessoais.

Mas afinal quais são os direitos dos titulares dos dados pessoais?

Os direitos dos titulares dos dados pessoais são diversos:

– Acesso: direito de solicitar, gratuitamente, acesso aos dados pessoais e que estejam na posse de uma organização;

– Retificação: caso uma organização possua dados pessoais que estejam incorretos, incompletos ou inexatos, o titular dos dados pode solicitar a respetiva correção;

– Cancelamento: o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais em determinadas condições previstas no próprio RGPD;

– Oposição: se uma organização efetuar o tratamento dos seus dados pessoais, o titular tem o direito de se opor, podendo em algumas circunstâncias, haver exceções. Também tem o direito de se opor em qualquer momento à receção de comunicações de marketing direto.

O titular dos dados tem ainda o direito à informação, à portabilidade dos dados, ao contacto e reclamação.

E as Organizações têm que ter um responsável para o RGPD?

Apenas nos seguintes casos, é que as Organizações têm que ter um Encarregado de Proteção de Dados (DPO – Data Protection Officer):

– Organismos públicos;

– Se as atividades principais da empresa exigirem um controlo das pessoas em grande escala;

– Se as atividades principais consistirem em operações de tratamento em grande escala de categorias especiais de dados pessoais, como dados relacionados com condenações penais e infrações.

E há outras obrigações para as Organizações?

As organizações que tratam dados pessoais têm diversas obrigações que decorrem do RGPD, e talvez a principal seja a responsabilidade pelo cumprimento dos princípios de proteção de dados e a obrigação de poder comprová-lo – Accountability.

Entre outras obrigações cabe ao responsável pelo tratamento garantir a segurança dos dados pessoais, ou seja, tomar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco. Na medida do aplicável efetuar a avaliação de impacto (Privacy Impact Assessment), garantir a proteção dos dados pessoais por defeito (Privacy by design / Privacy by default), efetuar a notificação da autoridade nacional responsável em caso de violação do RGPD, registo do tratamento de dados em determinados casos.

Ou seja, as implicações do RGPD são diversas para as organizações, seja na gestão, na relação com os clientes fornecedores e prestadores de serviços, nos departamentos de recursos humanos, marketing e sistemas de informação e até com a entidade reguladora nacional.

Pode consultar aqui mais informações sobre este regulamento, ou também no site do grupo de trabalho do artigo 29.º com orientações e notas interpretativas sobre o RGPD, disponível aqui.

Esta informação não dispensa a consulta do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016.