Por Leandra Dias (*)
A União Europeia deu um significativo passo na atualização da legislação de 1995, no que respeita à regulamentação do tratamento, privacidade e proteção de dados pessoais, através da aprovação do Regulamento 2016/679, de 27 de abril de 2016 (publicado no passado dia 4 de março), promovendo uma verdadeira “revolução” no tratamento de dados pessoais e na sua livre circulação.
Este Regulamento entrará em vigor no dia 25 de maio de 2018, estando em curso um período de adaptação das empresas à nova realidade. A redefinição do ponto de vista legal acarreta uma reestruturação operacional com impacto no dia a dia de empresas de todo o espaço da União Europeia. O novo quadro legal aplica-se às entidades que efetuem operações que envolvam tratamento de dados pessoais em todo o espaço da União Europeia, estando igualmente sujeitas a estas regras as entidades que ofereçam bens ou serviços aos residentes nos Países-membros, ainda que não tenham sede na UE ou não estejam aí estabelecidas.
Finalmente este diploma vem responder aos desafios levantados pela revolução tecnológica que corre a um ritmo frenético e proteger de forma mais profunda os direitos dos cidadãos. A existência de um ordenamento comum a todos os Estados-membro da UE nesta matéria há muito que é ambicionada e a sua urgência cresce diariamente, impondo-se a necessidade de deixar cair as 28 legislações diferentes. E aqui há um dado que me parece crucial e todos teremos a ganhar com isso: esta legislação surge sob a forma de um Regulamento e não de uma Diretiva, ou seja, tem aplicação direta, sem necessidade de transposição para as ordens jurídicas internas dos diversos países.
Os cidadãos ganham assim novos direitos, como o “direito à portabilidade dos dados pessoais” com o qual nos fomos familiarizando no contexto das telecomunicações e o “direito ao esquecimento ou direito a ser esquecido”, abrindo-se portas para que todos possamos ser mais exigentes no que respeita a saber que dados pessoais estão a ser recolhidos, como e onde são armazenados e respetiva finalidade.
Por outro lado, também as regras quanto ao consentimento dos titulares dos dados passam a ser mais exigentes, rejeitando-se o consentimento tácito. Além disso, é dada particular atenção aos menores, ficando estabelecido legalmente que os jovens com menos de 16 anos não podem prestar o seu consentimento para tratamento de dados em serviços online, sendo para tal necessário o consentimento de quem exerce as respetivas responsabilidades parentais. Apesar das regras bastante restritivas neste âmbito, é deixada alguma margem de manobra aos Estados-membro para poderem legislar sobre o enquadramento dos jovens que tenham entre 13 e 16 anos.
Em paralelo com a maior proteção dos cidadãos surge um conjunto de novas obrigações para as entidades que procedam ao tratamento de dados pessoais. Entre elas, destacam-se a obrigação de respeitarem os conceitos de “privacy by design” e “privacy by default” no desenvolvimento da sua atividade e nos seus produtos/serviços. Ficam ainda obrigadas a definir e adotar procedimentos que garantam a proteção e segurança de dados, bem como a designação de um Encarregado de proteção de dados, figura de destaque no controlo e garantia de legalidade no seio das empresas/entidades, no que respeita a esta matéria. Passa ainda a ser necessário realizar os “privacy impact assessements”, isto é, antes de iniciar o tratamento de dados pessoais que possam implicar um elevado risco para os direitos e liberdades dos titulares, as entidades devem proceder a uma avaliação do impacto que esse tratamento possa ter e adotar medidas que o minimizem.
Obrigatórias serão também as notificações de “Data Breaches”, ou seja, dos incidentes de violação de dados pessoais às autoridades responsáveis pela proteção de dados (no caso português a CNPD) e aos próprios cidadãos afetados, ficando ainda estabelecida a necessidade de demonstração de ações definidas para resolver o incidente e medidas para minimizar os riscos.
Do ponto de vista sancionatório, verifica-se um aumento significativo do valor das coimas. Atualmente o valor máximo previsto não vai além dos 30 mil euros, enquanto que com a nova legislação poderá chegar aos 20 milhões de euros ou até 4% do volume de negócios anual da empresa.
O novo quadro legal traz oportunidades para as empresas de Tecnologias de Informação, na medida em que a sua intervenção é fundamental na área da prevenção, deteção e correção de incidentes de violação de dados, designadamente no apoio à criação de ferramentas que auxiliem nessas tarefas, bem como na comunicação com as entidades oficiais e utilizadores.
Áreas como a formação sobre esta temática, quer na componente tecnológica, quer na formação/certificação ligada à figura do Encarregado de Proteção de Dados tenderão a conquistar terreno, sem esquecer as áreas Jurídica e de Marketing, que serão certamente desafiadas a sair da zona de conforto, abraçando novas problemáticas e resolvendo novas questões.
Serão muitos os desafios que se vão colocar às empresas num curto espaço temporal, mas também muitas oportunidades surgirão e todos nós estaremos seguramente mais protegidos num mundo onde a privacidade se vai esvanecendo sem darmos por isso.
(*) Responsável pela área de Recursos Humanos do ERP PRIMAVERA