Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
A protecção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. (art. 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia e art. 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia)
O Regulamento (UE) 2016/679, publicado em 4 de maio de 2016 e aplicável (directamente) em todos os Estados-Membros a partir de 25 de Maio de 2018, representa um marco histórico na regulação do tema dos dados pessoais.
São profundas as medidas preconizadas, com considerável impacto nas empresas e instituições, as quais passam a estar sujeitas às obrigações decorrentes do Regulamento, impondo-se um plano de acção imediato, sob pena de virem a ser alvo de pesadas sanções, com a aplicação de coimas que podem ir até vinte milhões de euros ou 4% do volume de negócios anual do infractor.
ESCOPO DO REGULAMENTO
As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização e partilha de dados pessoais numa escala sem precedentes no exercício das suas actividades. A rápida evolução tecnológica e a globalização criaram, assim, novos desafios em matéria de protecção de dados pessoais.
Decorre do Regulamento o entendimento de que esta evolução exige um quadro de protecção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa de regras que promovam a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno.
O Regulamento aplica-se a todas as empresas e entidades que tratem dados pessoais, ou seja, que realizem operações que envolvam dados pessoais. Estas entidades podem ser aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efectuam essas operações em regime de subcontratação.
Tem aplicação em todo o território da União Europeia, com a particularidade de, ainda, ser aplicável a empresa estabelecida fora do espaço da UE e sem presença na EU, desde que ofereça serviços e faça negócios que envolvam tratamento de dados pessoais de um residente na UE ou quando os comportamentos dos titulares dos dados sejam “controlados” no seio da UE.
Por “Dados Pessoais” deve entender-se a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»). É considerada identificável uma pessoa singular que possa ser identificada, directa ou indirectamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via electrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
O Regulamento põe termo à obrigatoriedade de notificação ou pedido de autorização prévia à Comissão Nacional de Protecção de Dados (CNPD), para proceder a tratamentos de dados pessoais, fazendo recair sobre as empresas/entidades não só o ónus do levantamento e registo interno de todos os tratamentos de dados que realizem, mas também a avaliação, nos casos de maior risco, dos impactos de tais tratamentos na privacidade, a adopção de normas, procedimentos e sistemas tecnológicos que assegurem elevados níveis de segurança.
Entre as medidas consagradas no Regulamento (UE) 2016/679, destacamos as seguintes:
- Protecção de Dados desde a Concepção e Por Defeito (Privacy by Design and Privacy by Default);
- Pseudominização de dados;
- Obrigação dos registos das actividades de tratamento;
- Alteração das regras sobre obtenção de consentimento;
- Novas regras sobre consentimento de menores;
- Direito á Informação
- Implementação do direito ao esquecimento;
- Implementação do direito à portabilidade dos dados pessoais;
- Obrigação de designar um encarregado para a protecção de dados (“Chief Data Protection Officer”);
- Criação de obrigações acrescidas para os subcontratados;
- Obrigação de avaliação de impacto das operações de tratamento previstas sobre a protecção de dados pessoais (privacy impact assessments);
- Obrigações de informação relativas a quebras de segurança (“data breach”) à CNPD;
- Eliminação do sistema de notificações e autorizações;
- Criação do sistema de balcão único (one-stop shop);
- Criação de códigos de conduta;
- Criação de procedimentos de certificação em matéria de protecção de dados, bem como selos e marcas de protecção de dados e organismos de certificação;
- Criação de garantias: reclamação, recurso e acção judicial;
- Introdução de coimas de valor muito elevado.
O QUE FALTA?
Nos próximos meses aguarda-se, com expectativa, a produção legislativa interna em matéria de protecção de dados pessoais, mas, sobretudo, no novo quadro do Regulamento, a revisão das atribuições e competências da CNPD, enquanto entidade reguladora, a elaboração de código de conduta e a definição do processo de certificação e respectivo organismo certificador.
COUNTDOWN
O Regulamento previu um período de adaptação de 2 anos, entrando em vigor no dia 25 de maio de 2018. Já decorreram praticamente 9 meses!
Quer às entidades para as quais a matéria representa novidade, quer para todas as que ainda não adaptaram os seus procedimentos internos ao Novo Regulamento, recomenda-se urgência na definição do nível de “compliance” com a legislação em matéria de protecção de dados pessoais, na realização de diagnóstico e subsequentes planos de formação e implementação.
Maria João Ribeiro da Cunha
Advogada, Consultora e Formadora
VantagemBlog.com 
Deixe uma Resposta