Regulamento Geral de Proteção de Dados - principais conceitos

2018-03-01


O Regulamento Geral da Proteção de Dados (RGPD) regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Atualmente em vigor e de direta aplicação a partir de 25 de maio de 2018, introduz não só novas regras, como também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais.

O grande desafio está em garantir o controlo sobre a privacidade dos dados nesta nossa sociedade de informação, onde a crescente adoção da internet, das redes sociais e de modelos de negócio digitais criam uma dualidade. Por um lado, as pessoas sentem-se atraídas e partilham dados da sua vida pessoal; por outro, as organizações capturam cada vez mais informação sobre os seus clientes, geralmente com o objetivo de fornecer mais e melhores serviços, ou como forma de monetizar a informação.

O RGPD representa uma mudança essencial na forma como a UE encara o tratamento e acesso aos dados pessoais, numa nova abordagem que mantém o foco na autorresponsabilidade das Organizações. Na UE acredita-se que as empresas exploram dados pessoais de um modo excessivo e principalmente para seu próprio benefício, com défice de transparência sobre o modo e a finalidade do tratamento.

A nova regulamentação reveste-se de alguma complexidade, representando um desafio para todas as empresas e organizações, públicas e privadas, que terão que implementar ferramentas de controlo e procedimentos específicos para a gestão e proteção dos dados dos seus clientes.

Neste artigo técnico, propomos-lhe conhecer as principais especificidades trazidas pela moldura regulamentar do RGPD.

 

Âmbito de aplicação 

O RGPD regula o tratamento de dados pessoais, quer por meios total ou parcialmente automatizados, quer por meios não automatizados.

Exceções:

  • não sujeitos a Direito da UE;
  • pessoas singulares no exercício de atividades pessoais ou domésticas;
  • autoridades, para efeitos de prevenção, investigação, deteção e repressão de infrações ou para execução de sanções.

É aplicável nos estabelecimentos da EU, ou mesmo em estabelecimentos fora da EU que: a) ofereçam bens ou serviços no espaço europeu, quer sejam cidadãos europeus ou cidadãos de países terceiros; b) controlem o comportamento de cidadãos no espaço europeu.


Conceitos-chave:

  • Dados pessoais

“uma informação relativa a um titular de dados pessoais” “quaisquer informações relativas a uma pessoa individual identificada ou identificável através das mesmas”

  • Dados sensíveis

“convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida  privada e origem racial ou étnica, dados relativos à saúde e à vida sexual, dados  genéticos”

  • Tratamento de dados

“operação ou um conjunto de operações efetuadas sobre dados pessoais”,  designadamente, “a recolha, o registo, a organização, a estruturação, a conservação,  a adaptação ou a alteração, a extração, a consulta, a utilização, a divulgação através  de transmissão, a difusão ou qualquer outra forma de disponibilização, a comparação  ou combinação, a restrição, o apagamento ou a destruição”

  • Responsável pelo tratamento
    • pessoa singular ou coletiva
    • individualmente ou em conjunto com outras
    • determina as finalidades e os meios de tratamento de dados pessoais

 

  • Subcontratado
    • pessoa singular ou coletiva
    • trata os dados pessoais por conta do responsável pelo tratamento

 

  • Violação de dados
    • de modo acidental ou ilícito
    • provoque destruição, perda, alteração, divulgação, acesso não autorizado

 

(Novos) Direitos dos titulares

  • Transparência e linguagem acessível (mais informações, mais comunicações, mais exercício dos direitos)
  • Direito à informação
  • Direito de acesso
  • Direito de corrigir, apagar (esquecimento) e limitar
  • Direito de oposição
  • Direito a não ser alvo de decisões automatizadas
  • Direito à portabilidade
  • Comunicação de violação de dados pessoais ao titular

 

Obrigações do responsável pelo tratamento

  • Licitude do tratamento:
    • Consentimento: passa a ser um consentimento livre, específico, informado e explícito (opt-in), ao contrário das atuais opções pré-validadas ou silêncio (opt-out)
    • Contrato
  • Medidas técnicas e organizativas adequadas para assegurar e comprovar o tratamento em conformidade com RGPD
  • Privacy by design:
    • medidas técnicas e organizativas adequadas, como a pseudonimização e a anonimização
    • garantias necessárias ao cumprimento do RGPD (licitude do tratamento, políticas, procedimentos, códigos de conduta)
  • Privacy by default: medidas técnicas e organizativas, como a minimização e o controlo de acessos
  • Notificação de violação à Autoridade de Controlo, em 72h
  • Garantias adequadas do subcontratado
  • Empresa com mais de 250 trabalhadores: obrigatório registo de atividades de tratamento
  • Privacy Impact Assessment: obrigatório se existir profiling, dados sensíveis, tratamento em grande escala. É necessária consulta prévia pelo CNPD
  • Transferências internacionais

 

DPO – Encarregado de Proteção de Dados 

A existência de um DPO é obrigatória na seguintes organizações:

  • Autoridade ou Organismo Público (exceto Tribunais e OPCs)
  • Que exerçam tratamento de dados em grande escala
  • Com tratamento em grande escala de dados sensíveis e/ou relacionados com infrações ou condenações

Funções do DPO:

  • Informação/Sensibilização
  • Controlo de conformidade com o RGPD
  • Aconselhamento e controlo de realização de PIA´s - Privacy Impact Assessment
  • Cooperação e ponto de contacto com a Autoridade de Controlo

 

Coimas e Autoridade de Controlo

  • Mais independência da Autoridade
    • Responsabilidade pela fiscalização da aplicação do RGPD
    • Atividade preventiva para o responsável pelo tratamento e/ou subcontratado
  • Harmonização
    • Pedidos de autorização nos diversos EM com decisões diferentes
    • Demora na obtenção de resposta
    • Harmonização de regras, nomeadamente, relativas a transferências internacionais
  • Mais cooperação internacional entre Autoridades dos EM e a Comissão Europeia
  • Poder de investigação | Poder de correcção | Poder conclusivo e de autorização
    • Realização de auditorias
    • Advertências, repreensões e ordenar satisfação de pedidos de exercício de direitos dos titulares
    • Emitir pareceres; autorizar tratamento; aprovar códigos de conduta

Aplicação de sanções

O limite máximo para a aplicação de coimas foi definido pelo RGPD, cabendo a cada estado-membro a definição de um teto mínimo. Em Portugal, a moldura ainda não foi definida, pelo que neste momento a aplicação de qualquer multa é ilegal e inconstitucional.

Limites máximos na aplicação de coimas:

  • Menor gravidade: 10 milhões de euros, ou 2% do volume negócios anual (dos dois, o valor mais elevado)
  • Maior gravidade: 20 milhões de euros, ou 4% do volume negócios anual (dos dois, o valor mais elevado)

Para além da aplicação das sanções por parte da autoridade competente, uma das principais questões que previsivelmente levantará problemas às organizações é o direito de indemnização do titular por danos materiais e/ou morais.

 

Novos desafios – o que fazer

  1. Designar responsável pelo compliance com RGPD
  2. Fazer o levantamento e mapeamento de todos os tratamentos de dados pessoais
  3. GAP Analysis
  4. Implementação RGPD
    1. Licitude do tratamento
    2. Registo de tratamento de dados – evidências de cumprimento do RGPD
    3. Segurança no tratamento de dados: privacy by design e by default
    4. Avaliações de Impacto de Privacidade (PIAs)

 

 

A Moneris reuniu um conjunto de especialistas e parceiros com experiência e know-how na área de Privacidade e Proteção de Dados para tornar este complexo processo mais simples, apoiando a sua organização em toda a linha processual com um pacote chave na mão.


Conheça a nossa proposta integrada no âmbito da Consultoria, Seguros e Formação e aceite este desafio do RGPD com a Moneris e uma equipa multidisciplinar de consultores, juristas e parceiros tecnológicos.

Contacte-nos através do seu gestor Moneris ou pelo email info@moneris.pt.