O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor em 25 de Maio de 2018 e substitui a atual diretiva e lei de proteção de dados em vigor.

O novo Regulamento reveste-se de alguma complexidade, com novos princípios e conceitos, novos direitos para os titulares de dados que significam novos deveres para as empresas que com eles lidam.

Informação aos titulares dos dados

O regulamento obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos. Todas as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser revistos.

A empresa deve rever a informação que fornece aos titulares dos dados, por escrito ou por telefone, no âmbito da recolha de dados, seja esta realizada diretamente junto do titular ou não. O regulamento obriga a prestar mais informações do que atualmente, designadamente a base legal para o tratamento de dados, o prazo de conservação dos dados, informações mais detalhadas sobre as transferências internacionais, a possibilidade de apresentar queixa junto da CNPD. Dentro das exigências de maior transparência, ter em atenção que as informações devem ser prestadas aos cidadãos de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. Assim, tem de reformular impressos, políticas de privacidade e todos os textos que prestem informação aos titulares dos dados, ao mesmo tempo que verifica se está efetivamente a fornecer, em todas as situações, a informação exigida por lei.

Exercício dos direitos dos titulares dos dados

O regulamento obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares.

A empresa deve rever os procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, atendendo a novas exigências específicas do regulamento neste domínio quanto à tramitação dos pedidos, em especial aos prazos máximos de resposta. Todo o procedimento deve ser devidamente documentado. Por outro lado, os direitos dos titulares foram alargados em relação à atual lei, passando a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação ou apagamento ou limitação de tratamento solicitados pelos titulares. Assim, a sua organização deve estar preparada para aplicar as novas obrigações, nomeadamente através da manutenção da informação num formato estruturado, de uso corrente e de leitura automática, quando aplicável, e de procedimentos eficazes de comunicação com as entidades terceiras a quem transmitiu os dados, de modo a assegurar o exercício efetivo dos direitos. Por se tratar de direitos fundamentais dos cidadãos, esta é uma área de intervenção essencial, a qual sofreu várias alterações do ponto de vista procedimental, pelo que requer a maior cautela na sua adaptação às novas disposições legais.

Consentimento dos titulares dos dados

O regulamento obriga a controlar as circunstâncias em que foi obtido o consentimento dos titulares quando isso for base legal do tratamento dos dados pessoais. Qualquer tratamento de dados pessoais, mesmo que recolhidos antes do regulamento, terá de cumprir com o regulamento. Um dos alicerces é a necessidade de consentimento do titular de dados, para uma finalidade claramente definida. O consentimento tem que ser livre, específico, informado, explícito e por ato inequívoco. Retirar consentimento deverá ser tão simples quanto conceder. É natural que muitos consentimentos já existentes não cumpram com todos os requisitos do RGPD, o que obriga obter novo consentimento.

A empresa deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais. O regulamento alarga o conceito de consentimento e introduz novas condições para a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo tratamento respeita todas as novas exigências. Se assim não for, é imprescindível obter novo consentimento dos titulares dos dados em conformidade com as disposições do RGPD, sob pena de o tratamento de dados se tornar ilícito por falta de base legal. Particular atenção deve ser dada ao consentimento dos menores ou dos seus representantes legais, considerando as exigências específicas do regulamento para este efeito.

Natureza dos dados

O regulamento define o conceito de dados sensíveis que estão sujeitos a condições específicas para o seu tratamento, nomeadamente direitos e decisões automatizadas. Um exemplo de dados sensíveis serão os dados biométricos. Dependendo da dimensão e contexto destes tratamentos de dados específicos, poderá ser obrigatória a nomeação de um Encarregado de Proteção de Dados, que, caso não seja do interesse da empresa contratar ou nomear esse novo elemento, a nossa equipa de Proteção de Dados também disponibiliza esse serviço como parte da nossa solução.

Deve ser avaliada a natureza dos tratamentos de dados efetuados, a fim de apurar quais os que se podem enquadrar no conceito de dados sensíveis, e consequentemente se aplicarem condições específicas para o seu tratamento, relativas à licitude do tratamento, aos direitos ou às decisões automatizadas. O regulamento veio estender o leque das categorias especiais de dados, integrando por exemplo os dados biométricos, que passaram a fazer parte do elenco de dados sensíveis. Deve analisar também o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados.

Documentação e registo

O regulamento obriga a manter um registo documentado de todas as atividades de tratamento de dados pessoais. As organizações são obrigadas a demonstrar o cumprimento de todos os requisitos decorrentes da aplicação do regulamento.

Deve documentar-se de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD. Uma vez que o regulamento prevê que as entidades em regime de subcontratação, designadas de “subcontratantes”, passem a ter quase as mesmas obrigações que os responsáveis pelos tratamentos, estando de igual modo obrigadas a provar que cumprem tudo o que lhes é exigido, a prossecução desta medida de forma atempada é vital, pois terão de começar do zero. Esta ação reveste-se de especial relevo no contexto da preparação para a aplicação do novo regulamento, porque permite fazer o levantamento integrado do que está a ser feito, permitindo validar o que é necessário corrigir e adaptar.

Subcontratação

O regulamento obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados.

Devem rever os contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para verificar se contêm todos os elementos exigidos pelo regulamento. Apesar de se manterem os princípios já vigentes na atual lei de proteção de dados, o RGPD veio especificar o conteúdo dos contratos de subcontratação, impondo a introdução de um vasto conjunto de informações. Assim, será muito provável que os contratos existentes necessitem de ser modificados para respeitar os termos do regulamento. Tal requer algum tempo, se houver várias subcontratações, pelo que é conveniente aprontar esta análise. Quando houver lugar a sub-subcontratação, compete ao subcontratante verificar se detém as autorizações respetivas dos responsáveis pelo tratamento, exigidas expressamente pelo novo regulamento; caso contrário, deve obtê-las até maio de 2018.

Encarregado de Proteção de Dados (DPO – Data Protection Officer)

O regulamento introduz a figura do Encarregado de Proteção de Dados que terá um papel de controlador dos processos de segurança para garantir a proteção de dados no dia-a-dia da empresa. As entidades que controlem regularmente dados pessoais em grande escala e/ou que tratem dados sensíveis em grande escala devem nomear um DPO, um Encarregado da Proteção de Dados. Mesmo nas entidades em que não seja mandatório o DPO, a entidade deverá designar um responsável pelo tratamento e proteção dos dados pessoais.

A empresa deve designar encarregado de proteção de dados com a antecedência devida, até porque este poderá desempenhar um papel fulcral neste período de transição para garantir que a organização cumpre todas as obrigações legais desde o início da aplicação do regulamento. Nesse contexto, especial atenção deve ser concedida à posição do encarregado de proteção de dados dentro da organização e ao reporte direto ao mais alto nível, bem como às funções que lhe são atribuídas pelo RGPD, cujo pleno desempenho requer a satisfação de determinadas condições. Além das situações previstas no regulamento em que a organização está obrigada a designar um encarregado de proteção de dados, como é o caso das entidades públicas, o responsável pelo tratamento e o subcontratante podem sempre, mesmo não se encontrando no momento em nenhuma das circunstâncias exigíveis, decidir ter um encarregado de proteção de dados na sua organização, pelas evidentes vantagens que tal pode significar para o nível de cumprimento das obrigações.

Processos de Segurança e Tratamento de Dados

O regulamento obriga a um grande controlo do risco associado ao possível roubo de informação. Este controlo de risco deverá passar a ser garantido por medidas de segurança efetivas que garantam a confidencialidade, a integridade dos dados e que previnam a destruição , perda e alterações acidentais ou ilícitas, ou a divulgação/acesso não autorizado de dados. A Segurança passa pela capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento, o que na prática significa a obrigatoriedade (por lei) de implementação de um sistema de gestão de segurança da informação. É determinante localizar dados pessoais e eliminar os não conformes, quer nos diversos sistemas quer em papel, quer nas Organizações quer nos subcontratados para tratamento. Poderão existir custos significativos de adaptação dos sistemas às novas regras e a técnicas de proteção recomendadas. É introduzido o conceito Privacy by Design, a proteção de dados desde a concepção e por defeito, o que requer a inclusão desta temática nos processos de desenvolvimento do tratamento de dados.

A empresa deve rever as políticas e práticas da organização à luz das novas obrigações do regulamento, e adotar as medidas técnicas e organizativas adequadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efetuados estão em conformidade com o RGPD a partir do momento da sua aplicação. Nessa avaliação, deve ter em conta a natureza, âmbito, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem decorrer para os direitos e liberdades dos cidadãos. Esta apreciação permite ainda tomar as medidas necessárias para confirmar um nível de segurança do tratamento adequado, que garanta designadamente a confidencialidade e a integridade dos dados e que previna a destruição, perda e alterações acidentais ou ilícitas ou, ainda, a divulgação ou acesso não autorizados de dados.

Proteção de dados desde a concepção

O regulamento salienta a necessidade de passar a avaliar projetos futuros de tratamento de dados com a devida antecedência e rigor de forma a poder avaliar o seu impacto na proteção de dados e adotar as medidas adequadas para mitigar esses riscos. As organizações têm de conseguir provar que cumprem com o regulamento.

Deve avaliar rigorosamente o tipo de tratamentos de dados que tenha projetado realizar num futuro próximo, de modo a analisar a sua natureza e contexto e os potenciais riscos que possam comportar para os titulares dos dados, de modo a aplicar com eficácia os princípios da proteção de dados desde a conceção e por defeito. Embora estes princípios já fossem aplicados no âmbito do princípio da qualidade dos dados, o RGPD vem expressamente prever a sua adoção no momento da definição dos meios de tratamento e no momento do próprio tratamento de dados, pelo que deve ser equacionada a sua aplicação atempada. A fim de decidir sobre as medidas mais ajustadas, seja tendentes à pseudonimização, à minimização dos dados, ao cumprimento dos prazos de conservação da informação ou à acessibilidade dos dados, deve ter em devida conta as características do tratamento e os efeitos que este pode ter nos direitos dos cidadãos; se for suscetível de resultar num elevado risco, deve realizar uma avaliação de impacto sobre a proteção de dados, de modo a adotar as medidas adequadas para mitigar os riscos.

Notificação de violações de segurança

O regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.A CNPD terá de ser notificada (em 72 horas) de todas as violações de dados com risco para o titular. Para tal, as organizações têm de ser capazes detetar qualquer violação de dados, logo que ocorra.

Devem adoptar procedimentos internos e ao nível da subcontratação, se for o caso, para lidar com casos de violações de dados pessoais, designadamente na deteção, identificação e investigação das circunstâncias, medidas mitigadoras, circuitos da informação entre responsável e subcontratante, envolvimento do encarregado de proteção de dados e notificação à CNPD, atendendo aos prazos prescritos no regulamento. Nem todas as violações devem ser reportadas à autoridade de controlo, apenas aquelas que sejam suscetíveis de resultar num risco para os direitos dos titulares. Todavia, todas as violações devem ser devidamente documentadas conforme preceituado no regulamento. Também nalguns casos, em que possa resultar um elevado risco para os titulares, é exigido que estes sejam notificados, pelo que deve ser analisado desde logo o tipo de tratamentos de dados realizados e o potencial risco que pode ocorrer em caso de uma violação de segurança.

Coimas

O regulamento estabelece um quadro de aplicação de coimas uniforme (em função da gravidade) :
Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

A Comissão Nacional de Protecção de Dados continuará a dar orientações às entidades públicas e privadas sobre o regulamento, incluindo em áreas específicas que estão a ser objeto de discussão entre as autoridades de proteção de dados da União Europeia com vista a uma aplicação concertada e uniforme do RGPD.