A XZ Consultores iniciou o processo de implementação do Regulamento Geral da Proteção de Dados (RGPD) na Clínica SBE - Clínica de Saúde e Bem Estar.
Saiba em que consiste
Novo Regulamento sobre Proteção de Dados Pessoais
A publicação no dia 4 de maio de 2016 do Novo Regulamento Geral de Proteção de Dados constituiu o momento mais importante dos últimos 20 anos da regulação do tema dos dados pessoais.
Com efeito e apesar dos temas de que se ocupa o Regulamento não serem totalmente novos, uma vez que estes, em grande parte, são objeto da Diretiva 95/46/EC - revogada pelo presente Regulamento – que foi transposta com diferenças significativas para as legislações nacionais dos diversos Estados- Membros, certo é que o regime em vigor é anterior à explosão da Internet e do surgimento da economia digital em que nos movemos hoje, pelo que inevitavelmente as alterações introduzidas pelo Regulamento são profundas e afetarão a generalidade das empresas.
O Regulamento pretende assim responder aos desafios constantes da revolução tecnológica ocorrida nas últimas décadas e proteger melhor os direitos dos cidadãos da União Europeia.
Neste contexto o Regulamento prevê um período de adaptação de 2 anos, entrando em vigor em maio de 2018, marcando assim uma alteração de paradigma, na medida em que os dados pessoais deixarão de ser uma preocupação com um âmbito específico para assumir uma relevância central na organização das empresas e no desenvolvimento da sua atividade.
O Regulamento tem assim como um dos seus objetivos principais que o cidadão recupere o controlo sobre os seus dados pessoais, impondo-se a todas as entidades, incluindo autoridades públicas e outros organismos, a adoção de procedimentos de tratamentos de dados mais transparentes.
O Regulamento será aplicável a todas as empresas que procedam ao tratamento de dados pessoais no espaço da União Europeia, mesmo que estejam sediadas fora da União Europeia nos termos previstos do mesmo.
Assim e tendo em vista a harmonização legislativa em todos os vinte e oito Estados Membros, passando a existir um único documento legal sobre Proteção de Dados Pessoais, salienta-se as principais novidades:
Face a todas as novidades supra mencionadas, assume particular importância o conceito de Privacy by Design Privacy by Default que estipula que a proteção dos dados pessoais seja considerada em todos os processos e departamentos das empresas, assim como, o direito ao esquecimento e o direito de portabilidade dos dados. Segundo este último, os cidadãos passam a poder transferir os seus dados fornecidos a um responsável pelo tratamento para outro responsável.
As empresas ficam, assim, obrigadas a fornecer ao titular dos dados, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido ou, sempre que tal seja tecnicamente possível, a transmitir diretamente esses dados ao outro responsável pelo tratamento.
Consubstancia-se também um reforço das obrigações das empresas. Para além da obrigação de adoção de políticas e procedimentos de segurança de dados, como a pseudonimização ou a cifragem de dados, é criada ainda a figura do Data Protection Officer (“Encarregado da proteção de dados”), o qual deve ter conhecimentos especializados neste domínio do direito e das práticas da proteção de dados e que terá como principal função controlar o cumprimento das regras do novo Regulamento pela empresa.
Saliente-se ainda que apesar do objetivo principal de harmonizar as regras de proteção de dados, existem matérias em que os Estados – Membros podem introduzir limitações às obrigações e direitos previstos no Regulamento conforme se alcança pelos art. 23º e os art.s 85º a 91º do Regulamento, existindo ainda diversos conceitos cujo conteúdo terá de ser necessariamente clarificado quer pelas autoridades de proteção de dados quer pela própria jurisprudência.
Finalmente e no que se refere à lista de novidades do Regulamento está o aumento substancial das coimas por incumprimento: estão previstas coimas que podem ascender a €20.000.000 ou 4% da faturação anual. Estas coimas elevadas, aliadas a uma maior fiscalização das autoridade de proteção de dados vão obrigar as organizações a olhar seriamente para as questões de privacidade, pois o seu incumprimento surge um risco muito elevado a ser considerado.
Formalmente o Regulamento contém 99 artigos, não sendo aparentemente muito extenso, mas não pode ser lido deixando de fora os 173 considerandos, que são essenciais para a sua interpretação e total compreensão.
Miguel Coelho, Advogado e Consultor na
XZ Consultores, SA