Desmistificar o RGPD (Regulamento Geral de Proteção de Dados)
(GDPR [General Data Protection Regulation])
Desde que a anunciada implementação do GDPR a 25 de maio de 2018, chegou ao conhecimento dos empresários e administradores de empresas, que temos assistido a uma corrida ao mercado por soluções que ofereçam a devida conformidade para evitar as coimas (pesadas, diga-se) previstas pela Comissão Europeia. Começando pela coima, esta pode atingir os 20 milhões de euros ou até 4% da faturação da empresa. Agora que estamos posicionados, vamos de seguida esclarecer as questões típicas e imediatas que todos temos sobre o RGPD.
Para que serve o Regulamento Geral de Proteção de Dados (RGPD)?
O RGPD estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas/ cidadãos da União Europeia. Nesta medida, serve para proteger as pessoas da utilização abusiva dos seus dados pessoais por outras entidades, conferindo-lhes ainda o direito de acesso aos seus dados (de forma gratuita) para consulta, atualização ou eliminação (o direito de eliminação depende do enquadramento: se existir por exemplo uma obrigação jurídica, a entidade não é obrigada a eliminar os dados da pessoa).
Não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas coletivas.
Resposta que parece óbvia a uma pergunta que parece básica:
O que são dados pessoais?
Dados pessoais são informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.
Dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.
O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.
Exemplos de alguns dados considerados pessoais
- nome e apelido;
- endereço de residência;
- endereço de correio eletrónico como nome.apelido@empresa.com;
- número do cartão de identificação;
- dados de localização (por exemplo, a função de dados de localização num telemóvel)*;
- endereço IP (protocolo de internet);
- testemunhos de conexão (cookies);
- o identificador de publicidade do seu telefone;
- os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.
A quem se aplica a lei de proteção de dados?
O RGPD aplica-se a empresas ou entidades que efetuem o tratamento de dados pessoais no âmbito das atividades de uma das suas sucursais estabelecida na UE, independentemente do local onde os dados são tratados; ou uma empresa constituída fora da UE que oferece bens/serviços (pagos ou gratuitos) ou controla o comportamento de pessoas na União Europeia. Se o tratamento de dados pessoais não for uma parte principal do seu negócio e a sua atividade não criar riscos para as pessoas, então algumas obrigações do RGPD não se aplicam a si (por exemplo, a nomeação de um encarregado da proteção de dados (EPD ou DPO – data protection officer).
Por falar nisso…
A minha empresa/organização tem de ter um encarregado da proteção de dados (EPD)?
A sua empresa/ organização tem de nomear um DPO, quer seja um responsável pelo tratamento, quer um subcontratante, se as suas atividades principais envolverem o tratamento de dados sensíveis em grande escala ou se as suas atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas. Neste contexto, o controlo do comportamento das pessoas inclui todas as formas de rastreamento e definição de perfis na internet, nomeadamente para efeitos de publicidade comportamental.
As administrações públicas têm sempre a obrigação de nomear um EPD (com exceção dos tribunais no exercício da sua função jurisdicional).
O EPD pode ser um funcionário da sua organização ou pode ser contratado externamente com base num contrato de prestação de serviços. O EPD pode ser uma pessoa ou uma organização.
As regras de proteção de dados aplicam-se aos dados relativos a empresas?
Não, as regras aplicam-se apenas a dados pessoais relativos a pessoas singulares. Não dizem portanto respeito a dados relativos a empresas nem a outras entidades jurídicas. Contudo, as informações respeitantes a empresas unipessoais podem constituir dados pessoais caso permitam a identificação de uma pessoa singular. As regras também se aplicam a todos os dados pessoais relacionados com pessoas singulares no âmbito de uma atividade profissional, como os trabalhadores de uma empresa/organização, incluindo endereços de correio eletrónico profissionais como «nome.apelido@empresa.eu» ou os números de telefone profissionais dos trabalhadores.
Esperamos ter ajudado a esclarecer algumas das questões mais elementares e fundamentais do GDPR. Caso pretenda mais esclarecimentos, contacte-nos para dpo@jelly.pt
O conteúdo deste artigo foi baseado e transcrito de https://ec.europa.eu