Em Maio de 2018 irá entrar em vigor o novo regulamento geral de proteção e dados e a Comissão Nacional de Proteção de Dados (CNPD) já alertou as empresas e as entidades públicas para começarem a preparar-se internamente.
Para a CNPD, as empresas e entidades públicas têm que conhecer as novas regras, analisar as novas obrigações, verificar o nível de cumprimento e adotar as medidas necessárias durante este período de transição. Clara Guerra, da CNPD, disse inclusive à agência Lusa que as empresas têm mesmo que garantir que estão a cumprir com as suas obrigações, uma vez que as coimas vão passar a ser muito elevadas.
“O valor mínimo ainda não está estipulado, mas as multas decorrentes de violações de dados pessoais podem atingir os 20 milhões de euros ou até quatro por cento do volume anual de negócios da empresa a nível mundial.”
Clara Guerra adiantou que a CNPD vai passar a fazer mais fiscalizações do que aquelas que faz atualmente, uma vez que vai ficar liberta das autorizações, passando a estar mais virada para a fiscalização e supervisão visto que o novo regulamento liberta as empresas dos pedidos de autorizações de tratamento de dados junto da CNPD.
“Agora essa autorização desaparece e todo o ónus passa para as empresas e entidades públicas. Têm que ser elas a demonstrar que estão a cumprir todas as ordens que vêm no regulamento”, adiantou.
Outras das alterações passa pelo alargamento territorial, ou seja, agora a lei só se aplica a empresas estabelecidas no espaço da União Europeia, mas, com as novas regras, passa a aplicar-se a empresas fora do espaço da UE e que dirijam os seus serviços a cidadãos da UE.
Clara Guerra sublinhou que um dos setores que vai sofrer mais mudanças são as empresas subcontratadas, passando estas a ser responsabilizadas do mesmo modo que as subcontratantes, o que não acontece hoje em dia.
Atualmente há muitas empresas privadas e entidades públicas que subcontratam outras empresas para o tratamento de dados, como ‘call centers’ ou marketing.
Nesse sentido, as organizações devem começar a rever os contratos de subcontratação para verificar se contêm todos os elementos exigidos pelo regulamento.
Caso contrário, deve obtê-las até maio de 2018.
As novas regras exigem também que as empresas públicas passam a ter um encarregado de proteção dados, sendo esta obrigatoriedade apenas para algumas empresas privadas, dependendo do tipo de dados que tratam.
Ter uma pessoa dedicada dentro de uma empresa a fazer cumprir todas as obrigações e ser o interlocutor da CNPD é excelente para garantir um elevado cumprimento das obrigações, porque a CNPD bate à porta e há uma série de coisas que as empresas têm que ter, nomeadamente registo de todas as atividades”, disse, avançando que compensa ter um encarregado devido ao nível de obrigações e valor das coimas.
O regulamento alarga também o conceito de consentimento dos titulares dos dados e introduz novas condições para a sua obtenção, além de exigir um consentimento explícito para tratamento de dados sensíveis.
A Exame Informática, para explicar o que muda com o novo regulamento que pretende uniformizar as políticas de proteção de dados, convidou dois especialistas: Daniel Reis, da advogado da PLMJ, e Luís Neto Galvão, consultor do Conselho da Europa na Área da Privacidade e Proteção de Dados e especialista que trabalha na SRS Advogados.
Eis as mudanças previstas para o novo regulamento, de acordo com as análises dos dois especialistas.
Direito ao esquecimento: Um cidadão vai poder exigir a uma empresa que elimine os respetivos dados pessoais, fazendo valer um direito que faz lembrar uma regra que começou a ser aplicada na Internet. «O direito ao esquecimento é na realidade uma extensão do direito que já existia do cidadão de impedir que os seus dados pessoais sejam tratados. Com o Regulamento vai poder exigir algo mais: que os seus dados sejam destruídos», refere Daniel Reis.
Portabilidade de dados: Com a portabilibilidade de dados, o cidadão passa a poder exigir a uma empresa os dados que lhe dizem respeito num formato que permitirá a migração para outra empresa. «Vai ter reflexos muito importantes nas nossas vidas enquanto consumidores, facilitando, por exemplo, a mudança de prestadores de serviços e melhorando a concorrência», explica Luís Neto Galvão. «Com este direito a mudança de prestador de serviço que trate os seus dados pessoais tornar-se-á mais simples. Pense-se na mudança de banco ou de seguradora: o cidadão exerce este direito e não terá de fornecer novamente os seus dados pessoais ao novo prestador de serviços», reitera Daniel Reis.
Para as empresas: Em paralelo com a aplicação de novos direitos para os cidadãos, os novos regulamentos libertam as empresas dos pedidos de autorizações de tratamento de dados junto da Comissão Nacional de Proteção de Dados (CNPD), mas definem novos requisitos no processamento da informação. «Há várias regras que beneficiam as empresas, por exemplo o mecanismo de autorização prévia pela autoridade local (CNPD) vai desaparecer, por isso as empresas não vão precisar de esperar pelas autorizações. Por outro lado, o reforço dos direitos dos cidadãos significará a imposição de regras mais rigorosas e, nessa medida, mais difíceis de cumprir», explica Daniel Reis. «Houve melhorias grandes ao nível da responsabilização das empresas. Estas passam a ser dispensadas das atuais burocracias (notificações), mas têm de manter registos sobre tratamentos de dados que efetuam, realizar auditorias, adotar os princípios da proteção de dados desde a conceção (privacy by design) e da proteção de dados por defeito (privacy by default). Ao nível do relacionamento online com clientes, as políticas de privacidade terão de ser redigidas numa linguagem clara e percetível, o que frequentemente não ocorre hoje em dia», sublinha Luís Neto Galvão. Daniel Reis destaca os seguintes requisitos: «Há várias obrigações novas, como por exemplo as eventuais obrigações de nomear um encarregado da proteção de dados (data protection officer), as obrigações de comunicar as quebras de segurança às autoridades e aos cidadãos afetados, a necessidade de realizar impactos sobre o tratamento de dados (privacy impact assessments), utilizar tecnologias como a pseudonimização e a cifragem dos dados pessoais»
Coimas: Em vez das autorizações, o novo regulamento aposta na fiscalização – e na aplicação de coimas para os prevaricadores: «Há um regime sancionatório muito exigente, com coimas que no caso de violações de menor gravidade poderá atingir 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde a empresa se insere e nos casos mais graves podem ascender a 20 milhões de euros ou 4% do volume de negócios mundial», informa Luís Neto Galvão.
E a CNPD?: A CNPD vai ou não sofrer um esvaziamento das funções de supervisão e regulação que tem vindo a exercer nos últimos tempos? «O Regulamento cria um sistema de balcão único (one-stop shop) entre as várias autoridades de proteção de dados europeias e no caso de grupos multinacionais com vários estabelecimentos na Europa, a supervisão mais direta irá passar para autoridades estrangeiras. É, por isso, natural que a CNPD perca algum poder de supervisão mais direta sobre estas empresas. Mas em contrapartida estará mais liberta para atividades de prevenção e de fiscalização, o que não tem sucedido até hoje», responde Luís Neto Galvão.
Fora da UE: Que influência o novo regulamento poderá ter envio de dados para fora da UE? Eis a análise de Daniel Reis: «As novas regras aplicam-se a todos os tratamentos de dados pessoais de cidadãos residentes na União Europeia mesmo se a empresa não estiver estabelecida na UE. Esta regra protege obviamente os cidadãos da UE mas é algo onerosa para as empresas estrangeiras (incluindo os gigantes americanos que fizeram muita pressão para remover esta regra). A posição da Comissão Europeia é que não há tratamento diferenciado pois as regras só se aplicam se as empresas estão a desenvolver uma atividade económica no espaço da UE».
Polícias e espiões: O novo regulamento não altera a forma como as autoridades em cada estado-membro acedem aos dados. «As regras relacionadas com o meio de obtenção de provas, investigação criminal e cooperação judiciária internacional não fazem parte do âmbito do Regulamento», explica Daniel Reis.
Virtudes: O regulamento pretende adaptar o panorama legal às novas realidades tecnológicas. Eis o balanço feito por Luís Neto Galvão: «O produto final não é perfeito nem para os cidadãos nem para as empresas. No entanto, o cômputo global é bastante positivo e traduz a relevância que a proteção de dados passou a ter mais recentemente com o Tratado de Lisboa e a Carta dos Direitos Fundamentais da União Europeia e com a jurisprudência do Tribunal de Justiça da União Europeia».
Tendo em conta todas as novas regras, coimas e informações, tem a certeza que a sua empresa cumpre os requisitos para não ter uma surpresa desagradável em 2018? Gostaria de garantir que a sua empresa está em conformidade? Fale connosco. Podemos ajuda-lo nessa questão.