Proteção de Dados Pessoais: Como Evitar uma Multa em 2018

Proteção de dados pessoais

A partir de 25 de Maio de 2018, o novo regime da proteção de dados, é aplicável em toda a União Europeia e pode originar multas monumentais!

Sim, leu bem. Há novas alterações ao regulamento da proteção de dados e aqueles que não as cumprirem poderão levar multas que podem atingir os 20 000 000 €.

É também verdade que quando se fala em violação da proteção de dados, o impacto é bastante menor do que quando se fala em “multas monumentais”.

Podemos sentir estremecer os mais poderosos empresários quando falamos em multas, empresários esses que reagem pacificamente aos termos “violação de dados pessoais”.

É por isso que todos temos que ler este artigo, aqui falamos da alteração ao regulamento sobre a proteção de dados e tudo o que este implica.

Aprenda a evitar a tal multa que põe toda a gente a tremer.

A Nova Era Digital

A sociedade tem vindo a adaptar-se à velocidade avassaladora da evolução digital e às novas formas de comunicação e relacionamento que se criam.

As empresas esforçam-se por acompanhar os disruptores da nova era e lutam para manter-se à superfície.

Há novas tendências digitais aplicadas ao Marekting e novas plataformas a surgir todos os dias e mesmo enquanto lemos este artigo há mais dados pessoais a serem recolhidos.

No contexto desta nova realidade, os desafios fazem-se sentir em diversas vertentes.

As regras do jogo mudaram, mas, devido à rapidez desta grande evolução, as estruturas base ainda não se adaptaram.

Empresas mantêm quadros antigos e rígidas estratégias que perdem agora terreno para os mais flexíveis.

“Adaptabilidade” é a nova palavra de ordem e prevê-se que sobrevive aquele que se adapta.

A Necessidade de Mudar as Regras de Proteção de Dados

Com esta mudança drástica no digital, a UE apressou-se a querer regulamentar a nova realidade.

Mas deparou-se com o grande desafio: como regular algo que ainda não tivemos tempo de conhecer a fundo?

Tomemos como exemplo a pirataria. Houve uma altura em que filmes eram copiados e vendidos sem autorização, downloads eram feitos todos os dias e não havia uma previsão na lei de como agir nestes casos.

Como foi resolvido o assunto?

Em primeiro lugar importa explicar que neste momento, a pirataria de conteúdos audiovisuais é um crime de natureza económica que se consubstancia na utilização abusiva duma obra protegida pelos Direitos de Autor e Direitos Conexos e, no caso de reprodução ilegítima de software, pela Lei da Criminalidade Informática.

Aos olhos da lei a pirataria é tida como um crime de usurpação.

Houve uma necessidade de regulamentar esta prática quando a mesma começou a atingir o património de autores.

Assim, a lei foi adaptada e vimos surgir a regulamentação para prevenir e sancionar este tipo de conduta.

Sabemos, por isso, que esforços têm vindo a ser feitos por parte dos legisladores para conseguir um melhor acompanhamento da era digital.

Foi neste contexto que surgiu o diploma de alteração ao regulamento da proteção de dados.

A Proteção de Dados Pessoais

Uma das maiores transformações decorrente do desenvolvimento tecnológico é a capacidade de armazenamento, acesso e operatividade relativamente à informação tratada, e o exemplo mais evidente é o dos dados pessoais.

O direito à honra e intimidade, estavam ameaçados e, para os proteger, foram criadas as alterações ao regulamento.

Temos então novas regras que agora regulam cidadãos e entidades que lidam com dados pessoais.

O que são Dados Pessoais?

Ok, vamos admitir, a lei é aborrecida e por vezes complicada de interpretar.

Felizmente, o artigo 4º do regulamento em análise encarrega-se de nos fornecer essa preciosa ajuda e definir em termos concretos as palavras e expressões mais importantes para a aplicação do regulamento.

lei de proteção de dados pessoais

Dados pessoais

Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

Tratamento

Uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

Limitação do tratamento

A inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

Definição de perfis

Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

Pseudonimização

O tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

“Consentimento” do titular dos dados

Uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Violação de dados pessoais

Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

Dados genéticos

Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;

Dados biométricos

Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

Dados relativos à saúde

Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

Qual o próximo passo?

Agora, as empresas precisam adaptar-se ao novo quadro legal e os titulares aos seus “novos” direitos.

Perante este cenário ficamos com três ordens de questões:

Primeiro, precisamos saber como e quais empresas devem agir para estarem adaptadas?

Segundo, quais são os “novos” direitos dos cidadãos?

Terceiro, o que acontece a quem não cumprir as novas regras?

As Multas

As regras que regulam as instituições que lidam com tratamento de dados pessoais estão interiorizadas pelos seus funcionários. É assim, como sempre foi.

Mas, com a nova alteração ao regulamento, as mudanças terão que ser feitas, ou poderá haver consequências drásticas.

O incumprimento das novas regras terá consequências que podem resultar em multas brutais.

Assim, e consciente do tempo que uma instituição precisa para se adaptar à nova realidade, o legislador atribuiu um prazo de cerca de um ano para que as mesmas se coloquem em conformidade com o regulamento.

Para quando?

Até 25 de Maio de 2018, todas as instituições terão que se adaptar ao “bom e novo”.

Quais as instituições que têm que fazer adaptações?

As novas alterações ao regulamento aplicam-se a todas as entidades que tratem dados pessoais, ou seja, que realizem operações que envolvam dados pessoais.

Estas entidades podem ser aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam essas operações em regime de subcontratação.

Geograficamente, o regulamento aplica-se em todo o território da União Europeia.

Mas, o número 1 do artigo 3º apresenta uma excepção:

“O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.”

Ou seja, o fato de não fazer o tratamento de dados pessoais no território abrangido pelo regulamento, não implica a não aplicação do mesmo, desde que a instituição se situe dentro do mesmo.

Como NÂO Levar uma Multa?

É preciso efectivamente proteger os dados pessoais!

Vamos então ao que interessa, o que fazer para não ser multado?

Para não ser multado tome em consideração as novas medidas e aplique-as, proteja os dados pessoais que tiver na sua posse e poderá evitar grandes chatices.

Criámos uma checklist para que não se perca com tantas obrigações.

Adaptações ao novo regulamento da proteção de dados

 E depois do leite derramado?

 

 

Ainda que as instituições cumpram as novas normas com as necessárias diligências, não é de excluir uma violação não intencional de dados pessoais dentro das mesmas.

Como deve proceder a instituição nestes casos?

As violações de dados pessoais devem ser documentadas, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada.

Violação de dados pessoais

Que Proteção têm os Titulares dos Dados?

Os novos direitos da proteção de dados pessoais

Com as alterações ao regulamento da proteção de dados, vemos surgir “novos” direitos relativos à proteção de dados pessoais que agora os cidadãos podem reivindicar.

Direito ao esquecimento

O Regulamento consagra o Direito ao Apagamento dos Dados (“direito a ser esquecido”), significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.

Direito à portabilidade de dados

O Regulamento consagra o Direito ao Apagamento dos Dados (“direito a ser esquecido”), significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada

Direito de retificação

O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito.

Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.

Passemos ao castigo

Parece que a alteração ao regulamento não deixou escapar nada. Temos as obrigações, temos os direitos e temos… sim, as temidas multas.

O Regulamento devido à sua natureza só pode definir coimas, ou seja, sanções contraordenacionais.

Significa isto que, ainda que o Regulamento venha revogar a Lei de Proteção de Dados, as normas quanto aos crimes continuarão em vigor até ser aprovada nova legislação.

É com alguns calafrios que se lê o disposto no artigo 83º do Regulamento, relativo à aplicação de coimas.

Vamos lá ver que acções dão direito a coima e qual o valor que a mesma pode atingir:

A violação das obrigações do responsável pelo tratamento e do subcontratante e a violação das obrigações do organismo de supervisão estão sujeitas a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Mas as coimas mais altas são guardadas para quem violar as seguintes disposições:

Os princípios básicos do tratamento, incluindo as condições de consentimento;

Os direitos dos titulares dos dados;

As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional;

As obrigações nos termos do direito do Estado-Membro adotado ao abrigo do capítulo IX;

O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo ou o facto de não facultar acesso;

Nestes casos, a violação das disposições está sujeita, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Vamos resumir, como posso aplicar as alterações ao regulamento da proteção de dados de forma a evitar a multa?

  1. Tire uns minutos para se inteirar do assunto.
  2. Adapte os funcionários e as tecnologias da sua instituição às novas regas
  3. Fique atento a eventuais violações e comunique-as adequada e atempadamente
  4. Nomeie um responsável pela proteção de dados

Esperamos que este artigo relacionado com a futura lei de Maio 2018 sobre a Proteção de Dados Pessoais tenha sido útil!

Leave a Comment