A proteção de dados pessoais vai ter novas regras. As multas para as empresas que não cumpram são pesadas, podendo ir até aos 20 milhões de euros.
O pacote legislativo que vai trazer novas obrigações e deveres para as empresas (e direitos para os cidadãos) ao nível da proteção de dados pessoais foi aprovado em abril pelo Parlamento Europeu e cada país tem agora até 2018 para adotar as novas regras. Tire 10 dúvidas.
Qual o prazo limite para o regulamento ser transposto para a legislação nacional?
Prevê-se que as regras impostas pelo Regulamento sejam transpostas para os Estados Membros no prazo máximo de 2 anos, tornando-se obrigatórias em igual período.
A quem é que as novas regras se aplicam?
As regras emergentes do Regulamento aprovado pelo PE serão aplicáveis a todas as empresas, do sector público ou privado, que tratem dados pessoais diretamente ou por subcontratação e que ofereçam produtos e serviços aos consumidores europeus, independentemente de se situarem dentro ou fora da União Europeia.
Que direitos são reconhecidos ao titular dos dados pessoais?
Vários, nomeadamente direito de acesso; direito de retificação; direito ao apagamento dos dados (“direito a ser esquecido”); direito à limitação do tratamento; direito de portabilidade dos dados; direito de oposição.
Que medidas de segurança devem adotar o responsável pelo tratamento dos dados e o subcontratante?
O responsável pelo tratamento e o subcontratante devem aplicar as medidas técnicas e organizativas que entendam ajustadas para assegurar um nível de segurança adequado ao risco, incluindo a pseudonimização e a cifragem dos dados pessoais; a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
O que fazer em caso de violação de dados pessoais?
Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica, em linguagem clara e simples, a violação de dados pessoais ao titular dos dados sem demora injustificada.
O que é a avaliação de impacto?
Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. A realização de uma avaliação de impacto sobre a proteção de dados é obrigatória nomeadamente em caso de:
- Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;
- Operações de tratamento em grande escala de categorias especiais de dados ou de dados pessoais relacionados com condenações penais e infrações;
- Controlo sistemático de zonas acessíveis ao público em grande escala.
Vai ser necessário um delegado para a proteção de dados. Mas o que é que isto significa?
As novas regras obrigam à existência de um delegado de proteção de dados que pode ser um trabalhador pertencente ao quadro da empresa ou um prestador de serviços, com qualidades profissionais, designadamente conhecimentos especializados no domínio do direito e das práticas de proteção de dados e capacidade para desempenhar as funções que lhe são distribuídas, designado pela empresa para a proteção de dados.
Quem está obrigado a designar um destes delegados?
Cada responsável por tratamento de dados é obrigado a designar um Delegado para a Proteção de Dados, sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público, com exceção dos tribunais;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados em grande escala;
c) as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações e infrações.
Que função terá este delegado?
As funções do Delegado para a Proteção de Dados consistem, essencialmente, em informar e aconselhar o responsável pelo tratamento de dados sobre as obrigações decorrentes do Regulamento de proteção de dados; controlar a conformidade das atuações da empresa com o Regulamento, nomeadamente através da repartição de responsabilidades, sensibilização e formação de pessoas envolvidas no tratamento de dados; prestar aconselhamento no que respeita à avaliação de impacto sobre a proteção de dados; cooperar com a autoridade de controlo; e) Servir de ponto de contacto com a autoridade de controlo sobre as questões relacionadas com o tratamento.
Há consequências para quem não acate estas regras? Quais são?
Em caso de violação destas regras, prevê-se a aplicação de coimas que podem ascender aos 20 milhões de euros.
* Respostas elaboradas com a colaboração de Gonçalo Pinto Ferreira, Sócio, e Sofia Pamplona, associada da TELLES
Pode ler esta noticia na integra e no original em: https://www.dinheirovivo.pt/outras/628235/
Pode ver a publicação no site da UE em: http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_pt.htm?pk_campaign=facebook-data-protection-infographic-2017-02