O Regulamento Geral de Proteção de Dados (Regulamento UE 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016) regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Atualmente em vigor e de direta aplicação a partir de 25 de maio de 2018, introduz não só novas regras, como também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais. De referir que a legislação nacional que regula o referido regulamento ainda não foi aprovada pela Assembleia da Republica.
O grande desafio está em garantir o controlo sobre a privacidade dos dados que são tratados pelas organizações, e de referir que quase qualquer empresa ou organização trata dados pessoais, bem como categorias de dados considerados sensíveis.
O RGPD representa uma mudança essencial na forma como a UE encara o tratamento e acesso aos dados pessoais, numa nova abordagem que mantém o foco na autorresponsabilidade das Organizações. Os pilares base deste novo regulamento assentam na ideia que as empresas exploram dados pessoais de um modo excessivo e principalmente para seu próprio benefício, com défice de transparência sobre o modo e a finalidade do tratamento. Desta forma será necessário preservar os direitos dos titulares de dados.
A nova regulamentação reveste-se de alguma complexidade, representando um desafio para todas as empresas e organizações, públicas e privadas, que terão que implementar ferramentas de controlo e procedimentos específicos para a gestão e proteção dos dados dos seus clientes, bem como mudar a mentalidade da forma como os dados são tratados.
DIREITOS DOS TITULARES
São conferidos diversos direitos aos titulares de dados (sendo apenas alguns deles novidade), os quais se apresentam de forma sucinta:
- Transparência e linguagem acessível (mais informações, mais comunicações, mais exercício dos direitos)
- Direito à informação
- Direito de acesso
- Direito de corrigir, apagar (esquecimento) e limitar
- Direito de oposição
- Direito a não ser alvo de decisões automatizadas
- Direito à portabilidade
- Comunicação de violação de dados pessoais ao titular
OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO
Existem diversas obrigações que tem que ser cumpridas pelos responsáveis pelo tratamento de dados, sendo apresentadas de forma resumida as principais:
- Licitude do tratamento
- Medidas técnicas e organizativas adequadas para assegurar e comprovar o tratamento em conformidade com RGPD
- Privacy by design: medidas técnicas e organizativas adequadas, como a pseudonimização e a anonimização, e garantias necessárias ao cumprimento do RGPD (licitude do tratamento, políticas, procedimentos, códigos de conduta)
- Privacy by default: medidas técnicas e organizativas, como a minimização e o controlo de acessos
- Notificação de violação à Autoridade de Controlo, num prazo inferior a 72h
- Garantias adequadas dos subcontratados
COIMAS E AUTORIDADE DE CONTROLO
O limite máximo para a aplicação de coimas foi definido pelo RGPD, cabendo a cada estado-membro a definição de um teto mínimo. Em Portugal, a moldura ainda não foi definida, pelo que neste momento a aplicação de qualquer multa é ilegal é neste momento ainda inconstitucional.
Limites máximos na aplicação de coimas:
- Menor gravidade: 10 milhões de euros, ou 2% do volume negócios anual (dos dois, o valor mais elevado)
- Maior gravidade: 20 milhões de euros, ou 4% do volume negócios anual (dos dois, o valor mais elevado)
Para além da aplicação das sanções por parte da autoridade competente, uma das principais questões que previsivelmente levantará problemas às organizações é o direito de indemnização do titular por danos materiais e/ou morais.
COMO IMPLEMENTAR
Tendo noção que a implementação de todo um sistema para cumprir com todas as obrigações do RGPD é um processo exigente e complexo, a Eurocontável estabeleceu um protocolo com a Clauditis para apoiar as empresas que necessitem de colaboração. Nesta situação solicite-nos o contacto.