O que muda com o novo Regulamento Geral de Proteção de Dados (RGPD)? Há novos desafios na proteção de dados com a entrada em vigor do novo regulamento geral. Iolanda Mouta Mendes, Sócia Fundadora e Advogada da Pereira Mouta Mendes & Associados – Sociedade de Advogados, RL., clarifica-nos algumas dúvidas.
O que será alterado, especificamente, com o novo Regulamento Geral de Proteção de Dados (RGPD), aplicável diretamente a partir de 25 de maio de 2018, e que vem substituir a atual diretiva e lei de proteção de dados pessoais?
Com efeito, o Novo Regulamento Geral de Proteção de Dados terá aplicação obrigatória a partir de 25 de Maio de 2018 em todos os Estados-Membros da União Europeia (UE), revogando em Portugal a Lei n.º 67/98, que transpõe para a ordem jurídica interna a anterior Diretiva 95/46/CE. O Novo RGPD visa assegurar a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais, em toda a União Europeia. Nessa medida, o RGPD aplica-se a todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes na União Europeia.
São previstos novos direitos para as pessoas singulares titulares de dados, designadamente o direito a solicitar a retificação, o apagamento, a limitação ou até o direito de se opor ao tratamento dos seus dados pessoais. O titular dos dados pessoais tem o “direito a ser esquecido” pela entidade responsável pelo tratamento dos dados, bem como o direito à portabilidade dos seus dados. Os dados pessoais podem ser transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.
Dada a experiência da sociedade de advogados Pereira Mouta Mendes & Associados, que aspetos considera que são mais importantes a ter em conta neste novo regulamento?
Este novo Regulamento tem como objetivo assegurar uma maior proteção às pessoas singulares titulares de dados pessoais. Por exemplo, o titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito. O titular dos dados tem ainda o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.
É possível antecipar a forma de como Portugal e as empresas portuguesas responderão a estas mudanças?
As empresas portuguesas, na qualidade de responsáveis pelo tratamento de dados pessoais devem aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o novo Regulamento. Por exemplo, nos casos em que o tratamento de dados é efetuado com base em consentimento dos titulares, é necessário confirmar que tal consentimento reúne os requisitos de clareza, concisão e inteligibilidade exigidos pelo Novo Regulamento. A linguagem utilizada deve ser clara e acessível aos cidadãos, de modo a que todo o processo de transmissão de dados pessoais assuma maior transparência.
O regulamento será aplicado a todos os Estados-membros e a dados que circulem na União Europeia. Será este o maior desafio para os vários Estados e as suas empresas?
É um grande desafio para os vários Estados Membros da União Europeia e para as suas empresas, porque é necessário assegurar que em Maio de 2018 estas estejam em condições de cumprir com as novas exigências. Por exemplo, o responsável pelo tratamento de dados só poderá subcontratar um terceiro, que esteja em condições técnicas de assegurar a defesa dos direitos do titular dos dados. Por outro lado, desaparece a obrigação de notificação/autorização à CNPD, sendo que, os responsáveis pelo tratamento de dados têm de ser capazes de, a qualquer momento, demonstrar o cumprimento das exigências previstas no RGPD, sob pena de lhes serem aplicadas coimas até 20 milhões de euros ou 4% da faturação (o que for maior).
O encarregado de proteção de dados é uma das novidades, quais serão as suas principais funções? Na sua opinião esta é uma figura imprescindível?
O Encarregado de Proteção de Dados é designado sempre que o responsável pelo tratamento dos dados seja uma autoridade ou organismo público ou em atividades que exijam um controlo de dados em grande escala. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados. Na minha opinião, trata-se de uma figura imprescindível, na medida em que, informa e aconselha a entidade responsável pelo tratamento dos dados, controla a conformidade dos procedimentos com o Novo Regulamento e coopera com a Autoridade de Controlo.
Segundo a diretiva da Comissão Europeia existirá uma DPIA – Data Privacy Impact Assessment – (Avaliação de Impacto sobre Proteção de Dados) um processo destinado a descrever o processamento de dados. O que será avaliado e de que forma?
O DPIA (Data Privacy Impact Assessment – Avaliação de Impacto da Privacidade de Dados) é um processo destinado a avaliar a necessidade e a proporcionalidade de um processamento de dados pessoais, com identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos.