RGPD – Regulamento Geral da Protecão de Dados

Marcado para o próximo dia 25 de maio, a entrada em vigor do RGPD (Regulamento Geral da Protecão de Dados, ou General Data Protection Regulation, no original) trará mais segurança aos cidadãos da UE (União Europeia) e novos desafios aos agentes económicos, não só da UE, como de todo o mundo, desde que tenham alguma relação com cidadãos da UE.

Mas, em termos gerais, em que consiste este RGPD que tanta tinta tem feito correr nos últimos tempos? Na sua essência o regime define uma série de regras, efeitos e consequências sobre a forma como os agentes económicos reúnem, tratam e utilizam os dados pessoais dos cidadãos da UE. Para além destas implicações para os agentes económicos, define também os direitos de cada cidadão relativamente a saber como os seus dados são tratados, e para que fim, além do direito de os limitar, transferir ou mesmo eliminar das bases de dados dos agentes económicos.

Da parte dos agentes económicos, ou Empresas, como define o RGPD, embora num sentido mais lato que o significado da palavra, sendo que as entidades públicas também se encontram enquadradas conjuntamente com estes agentes, a recolha e tratamentos dos dados pessoais sofre grandes alterações em relação às regras actuais. A reunião dos dados passa a estar sujeita a um consentimento livre, específico, informado e explícito, ou seja, deixa de ser aceite o consentimento tácito, passando a ser condição obrigatória que o consentimento seja dado especificamente para uma determinada finalidade e de forma livre, consciente e inequívoca. Depois da recolha dos dados, o agente económico terá que garantir que o tratamento dado aos mesmos será de acordo com o consentimento recebido e que os tratará de forma confidencial, garantindo o seu sigilo e segurança. Este tratamento passa a estar sujeito a registo escrito, sendo que, para uma maior garantia do correcto tratamento dos dados, o regime criou a figura do DPO (Encarregado da Proteção de Dados, ou Data Protection Officer, no original), como a pessoa, interna ou externa à Empresa, responsável por definir, rever, monitorizar e garantir a segurança dos dados pessoais. Este DPO será obrigatório para as Autoridades Públicas e entidades com fins de interesse público, sendo que, para as empresas, essa obrigatoriedade dependerá das características da empresa e/ou dos dados tratados.

Do lado dos cidadãos, o RGPD define uma série de direitos, como o direito ao acesso, rectificação, apagamento (o chamado “direito ao esquecimento”), limitação do tratamento, portabilidade e oposição. Em traços gerais, o indivíduo pode, a qualquer momento e dentro das regras definidas pelo RGPD, perante determinada entidade, solicitar o acesso aos seus dados, a retificação dos mesmos, retirar o consentimento, ou solicitar que o seu uso cesse ou seja limitado a determinados parâmetros. Pode também solicitar o fornecimento dos seus dados num formato comum ou a transferência dos mesmos para outro responsável pelo seu tratamento, sendo que este direito só poderá ser exercido relativamente a dados previamente fornecidos pelo indivíduo e que sejam tratados de forma digital.

O tratamento da violação dos dados pessoais passa a estar também especificamente regulamentado, sendo que os seus responsáveis passam a ter que, no caso de uma violação, notificar as Autoridades de Controlo no prazo máximo de 72 horas após a sua detecção, e os titulares dos mesmos, no caso de implicar riscos elevados para esses titulares. Estes incidentes estão também sujeitos a registo escrito.

O não cumprimento deste regulamento, por parte dos responsáveis pelo tratamento de dados pessoais, está sujeito ao pagamento de elevadas coimas, assim como outras penalizações por parte das Autoridades de Controlo. Para além disso, o RGPD define que os lesados, no caso do não cumprimento do RGPD, têm o direito a exigir uma indeminização às entidades incumpridoras.

O RGPD limita, também, os dados que podem ou não ser recolhidos, sendo proibido, exceto em situações específicas ou com consentimento, a recolha dos chamados dados sensíveis, como seja raça, etnia, opiniões políticas, convicções religiosas, orientação sexual, dados biométricos, entre outros. Limita também a idade a partir da qual é lícito a recolha dos dados, em 16 anos, sendo que, para idades inferiores, apenas é permitida recolha destes dados com o consentimento dos titulares da responsabilidade parental. O RGPD permite aos Estados Membros, no entanto, reduzir esta idade mínima até aos 13 anos.

Assim, o RGPD não só define os direitos dos cidadãos da UE relativamente ao tratamento dos seus dados, como define as obrigações das Empresas e Entidades Públicas no tratamento dos mesmos, e respectivas implicações do seu incumprimento, incluindo não só para as que se encontram em solo comunitário, como todas as que tratam dados de cidadãos da UE, independentemente da parte do mundo em que se encontram.

Pedro Félix da Costa

jpfelixdacosta@gmail.com