Clínica SBE implementa o Regulamento Geral de Proteção de Dados (RGDP)

A XZ Consultores iniciou o processo de implementação do Regulamento Geral da Proteção de Dados (RGPD) na Clínica SBE - Clínica de Saúde e Bem Estar.

 

Saiba em que consiste

Novo Regulamento sobre Proteção de Dados Pessoais

A publicação no dia 4 de maio de 2016 do Novo Regulamento Geral de Proteção de Dados constituiu o momento mais importante dos últimos 20 anos da regulação do tema dos dados pessoais.

Com efeito e apesar dos temas de que se ocupa o Regulamento não serem totalmente novos, uma vez que estes, em grande parte, são objeto da Diretiva 95/46/EC - revogada pelo presente Regulamento – que foi transposta com diferenças significativas para as legislações nacionais dos diversos Estados- Membros, certo é que o regime em vigor é anterior à explosão da Internet e do surgimento da economia digital em que nos movemos hoje, pelo que inevitavelmente as alterações introduzidas pelo Regulamento são profundas e afetarão a generalidade das empresas.

O Regulamento pretende assim responder aos desafios constantes da revolução tecnológica ocorrida nas últimas décadas e proteger melhor os direitos dos cidadãos da União Europeia.

Neste contexto o Regulamento prevê um período de adaptação de 2 anos, entrando em vigor em maio de 2018, marcando assim uma alteração de paradigma, na medida em que os dados pessoais deixarão de ser uma preocupação com um âmbito específico para assumir uma relevância central na organização das empresas e no desenvolvimento da sua atividade.

O Regulamento tem assim como um dos seus objetivos principais que o cidadão recupere o controlo sobre os seus dados pessoais, impondo-se a todas as entidades, incluindo autoridades públicas e outros organismos, a adoção de procedimentos de tratamentos de dados mais transparentes.

O Regulamento será aplicável a todas as empresas que procedam ao tratamento de dados pessoais no espaço da União Europeia, mesmo que estejam sediadas fora da União Europeia nos termos previstos do mesmo.

Assim e tendo em vista a harmonização legislativa em todos os vinte e oito Estados Membros, passando a existir um único documento legal sobre Proteção de Dados Pessoais, salienta-se as principais novidades:

  • Reconhecer aos cidadãos o “direito a ser esquecido” e o “direito ao apagamento”;
  • O “direito à portabilidade dos dados”, o “direito à limitação do tratamento”, o “direito de oposição”, o “direito de retificação”, o “direito de acesso” e o “direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis”;
  • Obrigação de notificar violações de Dados Pessoais à autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados, e ao respetivo titular dos Dados;
  • Aplicação do Regulamento aos responsáveis pelo tratamento (entidades que controlam os dados) bem como aos subcontratantes (entidades que tratam os dados).;
  • Regras de especial tutela quanto a menores;
  • Ser necessário a realização de avaliações de impacto sobre a proteção de dados (DPIA);
  • Criação da figura encarregado da proteção de dados (DPO);
  • Introdução de novas premissas no tratamento dos dados como a proteção desde a conceção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais;
  • A proteção das pessoas singulares deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas;
  • Garantir a capacidade de uma rede ou de um sistema informático de resistir com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais;
  • Direito de apresentar reclamação a uma autoridade de controlo;
  • Supressão do mecanismo de autorização prévia (artigo 28º Lei n.º 67/98 de 26 de outubro) pela Comissão Nacional de Proteção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador;
  •  Registar detalhadamente todas as atividades de tratamento dos Dados Pessoais.

Face a todas as novidades supra mencionadas, assume particular importância o conceito de Privacy by Design  Privacy by Default que estipula  que a proteção dos dados pessoais seja considerada em todos os processos e departamentos das empresas, assim como, o direito ao esquecimento e o direito de portabilidade dos dados. Segundo este último, os cidadãos passam a poder transferir os seus dados fornecidos a um responsável pelo tratamento para outro responsável.

As empresas ficam, assim, obrigadas a fornecer ao titular dos dados, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido ou, sempre que tal seja tecnicamente possível, a transmitir diretamente esses dados ao outro responsável pelo tratamento.

Consubstancia-se também um reforço das obrigações das empresas. Para além da obrigação de adoção de políticas e procedimentos de segurança de dados, como a pseudonimização ou a cifragem de dados, é criada ainda  a figura do Data Protection Officer (“Encarregado da proteção de dados”), o qual deve ter conhecimentos especializados neste domínio do direito e das práticas da proteção de dados e que terá como principal função controlar o cumprimento das regras do novo Regulamento pela empresa.

Saliente-se ainda que apesar do objetivo principal de harmonizar as regras de proteção de dados, existem matérias em que os Estados – Membros podem introduzir limitações às obrigações e direitos previstos no Regulamento conforme se alcança pelos art. 23º e os art.s 85º a 91º do Regulamento, existindo ainda diversos conceitos cujo conteúdo terá de ser necessariamente clarificado quer pelas autoridades de proteção de dados quer pela própria jurisprudência.

Finalmente e no que se refere à lista de novidades do Regulamento está o aumento substancial das coimas por incumprimento: estão previstas coimas que podem ascender a €20.000.000 ou 4% da faturação anual. Estas coimas elevadas, aliadas a uma maior fiscalização das autoridade de proteção de dados vão obrigar as organizações a olhar seriamente para as questões de privacidade, pois o seu incumprimento surge um risco muito elevado a ser considerado.

Formalmente o Regulamento contém 99 artigos, não sendo aparentemente muito extenso, mas não pode ser lido deixando de fora os 173 considerandos, que são essenciais para a sua interpretação e total compreensão.

Miguel Coelho, Advogado e Consultor na
XZ Consultores, SA

 

<< Voltar