Novo Regulamento Geral de Proteção de Dados

by • • • Comments (0)

É em maio de 2018 que entra em vigor o novo regulamento geral da proteção de dados, que traz consigo vários desafios tanto aos cidadãos, como às empresas e outras organizações privadas e públicas.

A proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais é um direito fundamental. A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de Dados Pessoais exigindo um quadro de proteção sólido e mais coerente na União Europeia.
Surge assim a necessidade de um Regulamento que introduz alterações importantes sobre a proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais impondo novas obrigações aos cidadãos, empresas e outras organizações privadas e públicas.
O Novo Regulamento aplica-se ao tratamento de dados pessoais das pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, e por meios total ou parcialmente automatizados, e também por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados e efetuado no contexto das atividades de um estabelecimento (organização ou empresa) de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.
Assim qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento responsável pelo tratamento situado na União deverá ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na União.
A revista Diplomatic Magazine esteve presente na Conferência do Novo Regulamento Geral de Proteção de Dados que decorreu no Auditório da AERLIS e teve oportunidade de falar com alguns dos seus oradores, que nos explicaram o que vai mudar.

Na opinião de Daniel Reis, sócio da empresa de advogados PLMJ, “este tema é importante agora porque, a partir de Maio de 2018, as empresas vão ter de implementar um conjunto de procedimentos e mecanismos para garantir o cumprimento do regulamento. Isto é algo que vai dar trabalho, portanto, as empresas precisam de se preparar agora”.
Daniel Reis refriu também que “estão sujeitas a multas todas as infrações aos princípios aplicáveis à proteção de dados, por exemplo, tratar de dados de potenciais clientes sem o consentimento deles. Enviar e-mails com publicidade sem ter o consentimento das pessoas, este é um exemplo fácil de perceber, pode ser uma violação e o valor das coimas é potencialmente muitíssimo elevado. Outras infrações serão guardar dados mais tempo do que o necessário; não destruir dados quando eles deixam de ser necessários; transmitir ou divulgar dados a terceiros também pode ser uma violação”.
No que respeita aos valores das multas “não há valor mínimo, só há valor máximo, e o valor máximo é 20 milhões de euros ou multas que podem chegar aos 4% do volume anual de negócios. É evidente que o valor de facto aplicado vai depender do caso concreto, o que é que aconteceu, quantas pessoas foram afetadas, quais foram os danos, mas os limites máximos são muito elevados” declarou Daniel Reis.
Em relação às garantias dadas pela legislação aos consumidores, de que os seus dados estarão a salvo quando trocarem de fornecedor de serviços Daniel Reis entende que “o que a legislação dá, eu diria de mais importante, é armas novas para reagir a violações. A lei por si só nunca garante que os direitos dos cidadãos não irão ser violados, agora, a capacidade de reclamar e de obter indeminizações na sequência de violações é muito fortalecida por esse regulamento”.

A Diplomatic Magazine falou também com Cristina Sousa Dias, Consultora financeira e Partner do Corporate Finance Services que nos disse o que vai mudar para as empresas a partir de agora:
“Digamos que temos muitos desafios, teremos de pensar em todos os processos no sentido de cumprir com o regulamento. O recurso ao consentimento para a recolha e tratamento de dados pessoais tem constituído uma prática recorrente em Portugal. As organizações têm privilegiado o consentimento como solução prática para assegurar a licitude do tratamento de dados pessoais de terceiros. O regulamento, contudo, veio criar barreiras adicionais às actuais práticas, e introduz regras muito mais rígidas às empresas quando se trata de obter o consentimento para recolha e tratamento de dados pessoais”.
Cristina Sousa Dias adiantou também que “a questão da portabilidade de dados é um factor muito importante para a boa operacionalização do regulamento. Essa é uma preocupação que cremos que deverá passar obrigatoriamente por uma concertação sectorial para se acordar um modelo e formato comum para a portabilidade desses dados. Percebemos que esse será um dos principais desafios deste regulamento para os sectores dos serviços essenciais, serviços financeiros e saúde”.
Em relação às diferenças que vão surgir agora com esta implementação das novas regras, Cristina Sousa Dias afirmou “que as grandes diferenças estão no facto do controle ser atuante, ou seja, neste momento já existe uma directiva, mas na prática ninguém a aplica. E a partir de agora vai ser necessário aplicar, e eu diria que em três vertentes: por um lado irá ser a comissão de protecção de dados que passará a ser mais actuante do que é neste momento; por outro lado, o titular dos dados vai passar a perceber melhor quais são os seus direitos, e é expectável que passe a haver reclamações e pedidos de indeminização, porque o próprio titular começa a perceber os seus direitos. E por outro lado é o arrasto dentro de empresas, ou seja, uma empresa subcontrata outra que trate de dados pessoais e vai ver querer que o seu subcontratado cumpra com o regulamento. E portanto vão ser três efeitos que vão fazer com que tudo mude muito, isto é, para que se passe a cumprir a lei, o que neste momento não se verifica”.

Jorge Xavier, Gestor de produto da myPartner, explicou-nos que “o que muda neste momento é o paradigma, pois a partir de agora, a empresa tem a obrigação de conhecer a lei e respeitar os direitos dos cidadãos. Além disso, no caso de existir uma falha de segurança que exponha os dados pessoais de uma pessoa singular, os próprios titulares desses dados terão de ser notificados”.

Os mecanismos de cobertura do risco e mitigação do impacto também foram abordados nesta sessão por Nelson Ferreira, Director Técnico da AIG  que afirmou que “são vários os abusos por parte de várias empresas principalmente em áreas como turismo e saúde, onde os dados são bastante sensíveis. Como tal, qualquer utilização indevida dessa informação pode trazer grandes responsabilidades para as empresas porque os direitos dos titulares existem”.
Nelson Ferreira adiantou ainda que, cada vez há mais novas formas de intrusão, o trabalho dos hackers é cada vez sofisticado por isso, as práticas de segurança devem ser aplicadas, desde mudanças de passwords, até filtros de acessos ao sistema da empresa, até mesmo a algo mais sofisticado que é a transferência do próprio risco para soluções em seguros.

Na opinião de Miguel Brown, Manager da Dognaedis e representante do Grupo Prosegur a segurança da informação vai implicar uma série de mudanças no tecido empresarial, da qual já se deveria estar a falar há mais tempo, pois “o tempo agora vai ser muito apertado para ter tudo pronto em Maio. No entanto, estas alterações vão trazer benefícios para as empresas, para começar estas ficam com uma visão da segurança e da sua postura, que é uma coisa que as empresas hoje em dia não têm. Também passam a ter uma análise de risco nos seus processos, para além do factor de competitividade bastante grande”.
Nós estamos num mercado global e as empresas que não tiverem prontas para o GDPR (General Data Protection Regulation) vão perder uma série de clientes.

O recurso ao consentimento para a recolha e tratamento de dados pessoais tem constituído uma prática recorrente em Portugal. As organizações têm privilegiado o consentimento como solução prática para assegurar a licitude do tratamento de dados pessoais de terceiros. O regulamento, contudo, vem criar barreiras adicionais às actuais práticas, e introduz regras muito mais rígidas às empresas quando se trata de obter o consentimento para recolha e tratamento de dados pessoais. As organizações são, assim, obrigadas a considerar mecanismos alternativos, como sejam o contrato com o titular dos dados, o cumprimento de uma obrigação jurídica, a defesa de interesses vitais do titular dos dados, o exercício de funções de interesse público ou os interesses legítimos do responsável pelo tratamento.
O novo Regulamento Geral de Protecção de dados entra em vigor no dia 25 de Maio de 2018.

 

Pin It

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *