No passado dia 14 de abril de 2016 o texto do Novo Regulamento Geral sobre a Proteção de Dados foi adotado pelo Parlamento, tendo sido posteriormente publicado no jornal oficial no dia 4 de maio de 2016.
Sem prejuízo das alterações que implicará a nível da legislação existente em cada país membro da União Europeia, no que a Portugal concerne, implicará a revogação da legislação existente sobre a proteção de dados pessoais, nomeadamente a Lei n.º 67/98, de 26 de outubro e trará uma série de regras e procedimentos que visam tornar o regime jurídico nesta área mais claro, menos burocrático, moroso e com custos mais reduzidos.
O novo Regulamento será aplicável a todas as empresas que procedam ao tratamento de dados pessoais no espaço da União Europeia, mesmo que estejam sediadas fora da União Europeia, entrando em vigor dia 25 de maio de 2018, data que, apesar de poder parecer longínqua se pode mostrar insuficiente para garantir que todas as novas obrigações e procedimentos trazidos pelo Regulamento sejam devidamente adotados nas diversas organizações nacionais, sendo o nosso entendimento de que as empresas devem desde já começar a preparar-se para estas novas regras.
NOVIDADES COM MAIS IMPACTO
Direito ao apagamento dos dados (direito a ser esquecido): um cidadão poderá exigir a uma empresa/entidade que elimine os seus dados pessoais de uma base de dados ou outro local onde esteja armazenada, realidade esta que já vinha sendo aplicada e que é conhecida pela polémica recente com a Google;
Direito de portabilidade dos dados: um cidadão poderá exigir a uma empresa/entidade que os seus dados pessoais lhe sejam entregues num formato que permita a sua migração para outra empresa, trazendo uma maior desburocratização em atos correntes como a mudança de banco ou seguradora, já que evita que um cidadão tenha de fornecer novamente todos os dados num novo processo de contratação;
Regras especiais para os menores: o novo Regulamento prevê a impossibilidade de menores com idade inferior a 16 anos prestarem o seu consentimento para tratamentos de dados em serviços online, sendo lícito apenas no caso de o menor ter mais de 13 anos e ter sido dado o consentimento/autorização pelos titulares das responsabilidades parentais da criança.
Reforço das obrigações das empresas:
a) sem prejuízo de o mecanismo de autorização prévia pela Comissão Nacional de Proteção de Dados desaparecer, o que levará a que as empresas deixem de precisar de aguardar pelas autorizações, as empresas passaram a ter de realizar auditorias a dados pessoais; a adotar os princípios da proteção de dados desde a conceção (privacy by design) e da proteção de dados por defeito (privacy by default);
b) as políticas de privacidade existentes nas diversas páginas na Internet devem estar redigidas numa linguagem clara e percetível, facto que nem sempre ocorre na presente data e em todas as páginas existentes;
c) obrigação de comunicar quebras de segurança. As empresas passarão a estar obrigadas a notificas casos de violação de dados pessoais às autoridades competentes e aos próprios titulares dos dados;
d) é criado o Data Protection Officer (Encarregado da Proteção de Dados) que empresas cuja atividade principal envolva uma monotorização de indivíduos em larga escala ou que realizem tratamentos de dados sensíveis deverão nomear, devendo o mesmo ter conhecimentos especializados na área de Privacy e das práticas da proteção de dados e que será responsável por controlar o cumprimento das regras do novo Regulamento por parte da empresa para a qual exerce tais funções
One-stop-shop: o novo Regulamento cria um sistema de balcão único entre as autoridades de proteção de dados europeias de cada estado-membro, sendo que no caso de grupos multinacionais com vários estabelecimentos pela Europa, a supervisão mais direta irá passar para a autoridade local do estabelecimento principal do grupo.
Coimas: A violação das regras do Regulamento pode resultar na aplicação de uma coima que pode ir desse € 10.000.000,00 (dez milhões de euros) até € 20.000.000,00 (vinte milhões euros) ou 2% a 4% do volume total de negócios anual da empresa infratora.
O Novo Regulamento é extenso e, tal como referido anteriormente, pressupõe uma série de novos procedimentos e regras que não são de rápida adaptação e interiorização no seio de uma empresa, pelo que entendemos que as empresas devem desde já olhar para o Regulamento e começar a sua preparação para o mesmo, colocando todas as dúvidas suscitadas aos seus departamentos jurídicos, permitindo assim, que cheguem a dia 25 de maio de 2016 preparadas para este novo paradigma e evitem a aplicação de coimas.