Funchal Notícias

O que tenho de saber sobre o Regulamento geral de Proteção de Dados

  • Francisca VieiraABreu Advogados

O novo Regulamento Geral de Proteção de Dados, publicado no dia 4 de Maio de 2016, entrará em vigor já no próximo dia 25 de Maio. Este Regulamento aplica-se a todas as empresas públicas ou privadas sediadas em território da União Europeia e ainda às empresas que embora sediadas fora, aqui ofereçam serviços ou façam negócios.

É importante as empresas conhecerem e se adaptarem às suas novas regras, pois o incumprimento deste diploma é punido por elevadas coimas que podem ascender a 4% da faturação anual global da empresa ou a €20.000.000,00.

Mas afinal o que tenho de alterar na minha empresa?

Sempre que o tratamento dos dados for feito por uma autoridade pública, com exceção dos tribunais, ou caso a atividade da minha empresa privada implique uma sistematização e uma monitorização de dados pessoais em grande escala, designadamente no caso das multinacionais do sector farmacêutico ou financeiro, é obrigatório designar um Encarregado de Proteção de Dados (Data Protection Officer). Este Encarregado poderá ser uma pessoa já integrada na empresa ou um terceiro contratado mediante prestação de serviços, mas terá necessariamente de ser ou um jurista ou um engenheiro informático. Compete-lhe controlar a conformidade do tratamento de dados da empresa com o Regulamento, formando e aconselhando o seu pessoal e estabelecendo os contactos com a autoridade de controlo.

Quando o tratamento de dados, feito pela minha empresa, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas, terei de proceder, antes de iniciar esse tratamento, a uma Avaliação de Impacto (Privacy Impact Assessment) das operações de tratamento previstas. Se o resultado desta avaliação for no sentido de que existe um elevado risco, a empresa terá de consultar a Autoridade de Controlo antes de proceder ao tratamento dos dados, que no prazo máximo de oito semanas irá dar orientações por escrito de como deverá proceder.

Para qualquer tratamento de dados pessoais, mesmo que recolhidos antes do Regulamento, passa a ser obrigatório o consentimento livre, especifico, informado, explícito e inequívoco do titular de dados. Deixa de ser suficiente o consentimento pela negativa. Se os consentimentos já existentes na minha empresa não cumprem estes requisitos é necessário obter novos.

Os dados tratados pela minha empresa têm de estar num formato estruturado, de uso corrente, de leitura automática e interoperável (ou seja, permitindo a reutilização dos dados do mesmo modo), de maneira a que sempre que o titular desses dados o requeira, a minha empresa consiga fornecer-lhe, em prazo razoável, todos os dados que lhe digam respeito ou transmiti-los a um terceiro por ele designado.

O titular de dados tem ainda o direito a exigir que a minha empresa elimine todos os seus dados, sendo totalmente “esquecido”. É essencial que sejam adotados sistemas informáticos que permitam a individualização dos dados por titular e a sua eliminação fácil e individualizada. No entanto, realce-se que este Regulamento não se sobrepõe a requisitos legais que obriguem a manutenção dos dados na empresa durante um período de tempo determinado.

A minha empresa deve também ter em atenção a privacidade dos dados ao longo de todo o seu ciclo de vida na empresa (recolha, armazenamento, processamento e destruição) implementando medidas técnicas e organizacionais apropriadas, para assegurar que, por defeito, apenas os dados pessoais necessários para cada propósito específico de processamento sejam efetivamente processados. É o que se chama de “privacy by design and by default”.

Para a empresa que tenha mais do que 250 trabalhadores é obrigatório conservar um registo por escrito e em formato eletrónico de todas as atividades de tratamento que estejam sob a sua responsabilidade, devendo o mesmo ser disponibilizado sempre que a Autoridade de Controlo o requeira.

Caso haja alguma violação de dados pessoais, a empresa tem obrigação de comunicar, até 72 horas, à Autoridade de Controlo e no caso de implicar elevados riscos para os direitos e liberdades das pessoas singulares ao próprio titular. O controlo prévio foi substituído pela comunicação à posteriori.

E todas estas obrigações e responsabilidades não são só para a minha empresa que procede ao tratamento dos dados, mas também para todas as empresas, publicas ou privadas, que comigo contratem e acedam aos dados no âmbito desse contrato. Os próprios contratos deverão prever o objeto, a duração, a natureza e a finalidade do tratamento de dados.

O tempo escasseia e Maio é já ao virar da esquina. Tem a certeza que na sua empresa está tudo conforme?