O Regulamento Geral de Proteção de Dados (RGPD) – Regulamento (EU) n.º 2016/679, de 27 de Abril de 2016 – estabelece novas obrigações junto de quem processa dados. É por isso importante estabelecer se uma empresa é uma processadora de dados, ou uma controladora de dados, ou ambas. É também importante estabelecer-se onde os dados pessoais são armazenados antes de averiguarmos a segurança desse local.
O novo RGPD, em vigor a partir de 25 de maio de 2018, vai exigir que empresas públicas e privadas da União Europeia que lidem com o tratamento, ou armazenamento, de dados pessoais passem a integrar a função do ‘Data Protection Officer’ (DPO), ou operacional de proteção de dados, sob pena de coimas que podem chegar aos 20 milhões de euros, ou 4% do volume de negócios anual global das empresas.
Os artigos 9º e 10º do Regulamento referem a proibição do tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa, bem como do tratamento de dados pessoais relacionados com condenações penais e infrações.
As atividades previstas neste Regulamento Geral de Proteção de Dados não são aplicáveis à empresas micro, pequenas e médias empresas (“… empresas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total anual não excede 43 milhões de euros.”), salvo se as suas atividades principais consistirem em operações de tratamento de dados pessoais, cuja natureza, âmbito e/ou finalidade exijam um controlo regular e sistemático por parte dos seus titulares.
Os cidadãos terão dois novos direitos: o direito ao esquecimento e o direito de portabilidade dos seus dados. O direito ao esquecimento mais não é do que a extensão do direito existente ao bloqueio dos seus dados. Já de acordo com o direito de portabilidade, os cidadãos passam a poder transferir os dados fornecidos a uma empresa ou entidade pública para outra empresa ou entidade. As empresas e as entidades públicas ficam, assim, obrigadas a fornecer ao cidadão, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido ou, sempre que tal seja tecnicamente possível, a transmitir diretamente esses dados a outro responsável pelo seu tratamento.
O Regulamento Geral de Proteção de Dados introduziu a obrigação de cada responsável por tratamento de dados designar um Delegado para a Proteção de Dados, sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados em grande escala ou as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações e infrações. Este Delegado de Proteção de Dados pode ser um trabalhador pertencente ao quadro da empresa ou um prestador de serviços, terá é que demonstrar qualidades profissionais, designadamente conhecimentos especializados no domínio do direito e das práticas de proteção de dados e capacidade para desempenhar as funções que lhe são distribuídas.
As funções do Delegado consistem, essencialmente, em:
Informar e aconselhar o responsável pelo tratamento de dados sobre as obrigações decorrentes do Regulamento de proteção de dados;
Controlar a conformidade das atuações da empresa com o Regulamento, nomeadamente através da repartição de responsabilidades, sensibilização e formação de pessoas envolvidas no tratamento de dados;
Prestar aconselhamento no que respeita à avaliação de impacto sobre a proteção de dados;
Cooperar com a autoridade de controlo;
Servir de ponto de contato com a autoridade de controlo sobre as questões relacionados com o tratamento.
Consulte na íntegra o Regulamento Geral de Protecção de Dados