As recentes alterações aos regulamentos europeus de proteção de dados pessoais deixaram muita gente preocupada. A 25 de maio de 2018… vais ter de organizar tudo ou podes estar a arriscar muito!
Todos nós queremos proteger os dados pessoais de forma responsável, mas também queremos concentrar-nos em não ser multados.
Hoje em dia, todos sabem e compreendem a importância de proteger os cidadãos de uma grande variedade de ameaças emergentes. Para não mencionar o facto de que todos nós, individual e coletivamente, precisamos de contribuir para a mesma causa.
A maior parte das pessoas interessadas (ou preocupadas) com a proteção de dados concentra-se mais na vertente financeira do que na proteção real dos dados em geral. Do ponto de vista empresarial, qualquer tipo de violação de dados pode resultar em multas e penalizações avultadas.
É precisamente por isso que é extremamente importante que todos reconheçam os recentes ajustes feitos aos regulamentos de proteção de dados, de modo a garantir a sua total conformidade. Estamos a entrar numa era em que a imunidade às violações de dados não é um conceito realista, mas continua a ser vital garantir que todas as medidas preventivas necessárias são postas em prática.
A nova era digital
Nos últimos anos, a sociedade no seu conjunto não teve outra opção senão adaptar-se à rápida evolução e às novas formas de comunicação e de relacionamento. As empresas estão a lutar para acompanhar os disruptores da nova era e para se manterem no topo. Todos os dias surgem novas tendências digitais e novas plataformas. Consequentemente, os desafios enfrentados pela grande maioria das empresas nesta nova era fazem-se sentir em várias áreas.
As regras do jogo mudaram, mas devido à rapidez desta evolução contínua, a estrutura necessária para lidar com ela ainda não se adaptou. As empresas mantêm as suas estratégias tradicionais, muitas vezes rígidas, que se revelam insuficientes face às ameaças modernas.
“Adaptabilidade” é a nova palavra de ordem que o mundo não se pode dar ao luxo de ignorar – quem o fizer arrisca-se a ficar para trás, ou talvez mesmo a desaparecer por completo.
A necessidade de alterar as regras de proteção de dados …
Foi devido a um avanço tão drástico no panorama digital do séculoXXI que a União Europeia tomou a decisão de implementar mudanças radicais. À medida que o mundo se torna mais dependente dos dados digitais, faz todo o sentido garantir a sua proteção adequada.
No entanto, o facto de as coisas continuarem a mudar diariamente torna tudo isto ainda mais complicado. Afinal, como é que se pode impor uma regulamentação e proporcionar uma proteção adequada, quando não se faz ideia do que virá a seguir?
Toma como exemplo a pirataria. Houve uma altura em que os filmes eram copiados e vendidos sem autorização, os downloads eram feitos todos os dias e não havia qualquer disposição na lei sobre como atuar nestes casos. Os piratas, por sua vez, ficavam impunes, sem fazer perguntas.
Como é que os reguladores resolveram o problema?
Antes de mais, importa explicar que a pirataria de conteúdos audiovisuais é um crime económico, que consiste na utilização ilegal de uma obra protegida pelo direito de autor e direitos conexos e, no caso da reprodução ilegítima de software, pela Lei da Criminalidade Informática.
Aos olhos da lei, a pirataria é considerada um crime de usurpação.
Como se tornou claro que os piratas estavam a lucrar cada vez mais à custa dos detentores dos direitos de autor do material em questão, foi necessário elaborar novos regulamentos. O que, por sua vez, levou à proibição total da pirataria, juntamente com esforços agressivos para levar à justiça os participantes nessas actividades.
No entanto, de cada vez que as autoridades atacam a comunidade pirata, surgem novas técnicas que tornam mais difícil ou mesmo impossível apanhar os envolvidos. Além disso, os avanços tecnológicos continuam a dificultar ainda mais o policiamento da pirataria, ao mesmo tempo que tornam a pirataria em geral muito mais fácil de ser praticada por qualquer pessoa.
Daí os desafios associados ao acompanhamento na era digital.
Proteção de dados pessoais
Um dos maiores avanços da tecnologia nos últimos anos tem sido o desenvolvimento exponencial da capacidade de armazenamento e acesso a dados pessoais. Basta dizer que, se alguém pudesse ver a quantidade de dados armazenados sobre si numa base global, provavelmente acharia bastante assustador.
Com volumes tão grandes de dados pessoais e privilegiados armazenados sobre quase todos os seres humanos do mundo, a necessidade de proteger esses dados tornou-se rapidamente evidente. A legislação existente em matéria de proteção de dados simplesmente não estava à altura das necessidades do cidadão do século XXI que vive na era digital.
Como tal, existem agora regras e regulamentos que regem aqueles que recolhem e trabalham com dados pessoais. No entanto, é inevitável que as coisas tenham de dar vários passos significativos para acompanhar a evolução do armazenamento e utilização de dados.
A partir de agora, as empresas devem adaptar-se ao novo quadro jurídico, enquanto os cidadãos são aconselhados a familiarizar-se com os seus direitos.
O que é a proteção de dados pessoais?
Não há duas maneiras de o fazer – tentar compreender a lei pode ser aborrecido e muitas vezes muito complicado. Felizmente, os regulamentos em análise fornecem-nos alguns termos e definições concretos, que tornam tudo muito mais fácil de compreender e de cumprir.
Dados pessoais
Informações relativas a uma pessoa singular identificada ou identificável (“pessoa em causa”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos do identificador. A identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
Tratamento de dados pessoais
Uma operação ou um conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Limitação do tratamento de dados
A inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
Definição do perfil do cliente
Qualquer forma de tratamento automatizado de dados pessoais que consista na utilização desses dados pessoais para avaliar determinados aspectos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspectos relacionados com o desempenho profissional, a situação económica, a saúde, as preferências pessoais, os interesses, a fiabilidade, o comportamento, a localização ou as deslocações;
Pseudonimização
O tratamento de dados pessoais de forma a que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
“Consentimento” da pessoa em causa
Uma manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
Violação de dados pessoais
Uma violação da segurança que provoque, de modo acidental ou ilegal, a destruição, perda, alteração, divulgação ou acesso não autorizados a dados pessoais transmitidos, armazenados ou tratados de outro modo;
Dados genéticos
Dados pessoais relativos às caraterísticas genéticas herdadas ou adquiridas de uma pessoa singular que forneçam informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resultem, nomeadamente, da análise de uma amostra biológica da pessoa singular em causa;
Dados biométricos:
Dados pessoais resultantes de um tratamento técnico específico relativo às caraterísticas físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, em especial dados faciais ou dactiloscópicos;
Dados de saúde
Dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre a sua saúde;
As consequências da abordagem antiquada
A maioria das organizações segue as suas próprias políticas de proteção de dados, que podem ter permanecido inalteradas durante anos ou mesmo décadas. Seja o que for que façam, fazem-no assim porque sempre o fizeram assim.
Mas as novas alterações aos regulamentos de proteção de dados exigem mudanças significativas nos procedimentos, de modo a evitar consequências potencialmente drásticas.
O não cumprimento das novas regras de proteção de dados pode resultar em multas avultadas que podem ir até 20 000 000 euros.
Assim, tendo em conta o tempo de que uma instituição necessita para se adaptar às novas regras, o legislador estabeleceu um período de apenas um ano para que todas as empresas se adaptem ao regulamento.
Até 25 de maio, todas as instituições terão de se adaptar às alterações, sem exceção.
Que empresas/instituições têm de se adaptar?
As novas alterações ao regulamento aplicam-se a todas as entidades que lidam com dados pessoais – as que efectuam qualquer tipo de transação que envolva dados pessoais. Estas entidades podem ser as que determinam as finalidades e os meios de tratamento dos dados pessoais, mas também as que efectuam essas operações em regime de subcontratação.
Em termos geográficos, o regulamento aplica-se em todo o território da União Europeia. No entanto, o n.º 1 do artigo 3.º prevê uma exceção: “O presente regulamento aplica-se ao tratamento de dados pessoais efectuado no contexto das actividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, dentro ou fora da União.”
Em termos gerais, o facto de os dados pessoais não serem tratados no território abrangido pelo regulamento não implica que este não seja aplicado, desde que a instituição se situe nesse território.
Como evitar uma multa colossal
- Aceita a necessidade de proteger os dados pessoais de forma mais pró-ativa.
- Segue as novas regras de proteção de dados e tudo correrá bem.
- Vê a lista de verificação que preparámos e começa já!
Mesmo que as instituições cumpram as novas normas com a devida diligência, não se pode excluir uma violação não intencional de dados pessoais. Como já foi referido, a imunidade total não é uma possibilidade realista.
Aconteceu-me a mim… e agora?
Então, quando as coisas correm mal, como é que uma instituição deve proceder nestes casos?
Todas as violações de dados pessoais devem ser documentadas de forma exaustiva, incluindo os factos que lhes estão associados, os seus efeitos e a solução adoptada.
Vê alguns exemplos das perguntas mais frequentes sobre o assunto:
Quais são os “novos” direitos de proteção de dados?
Com as alterações aos regulamentos de proteção de dados, assistimos ao aparecimento de novos direitos que os cidadãos podem agora “reclamar” à sua discrição.
O direito a ser esquecido
Este novo regulamento abrange o direito de apagar os dados (“direito a ser esquecido”), o que significa que a pessoa em causa tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais sem demora injustificada.
O direito à portabilidade dos dados
O direito à portabilidade dos dados permite às pessoas obterem e reutilizarem os seus dados pessoais para os seus próprios fins em diferentes serviços. A pessoa em causa pode transferir, copiar e deslocar livremente as suas informações pessoais entre sistemas informáticos de uma forma segura, protegida e conveniente.
Direito de retificação
O titular dos dados tem o direito de obter do responsável pelo tratamento a retificação (correção) dos dados pessoais inexactos que lhe digam respeito. No que diz respeito à finalidade do tratamento de dados, o titular dos dados tem o direito de obter que os seus dados pessoais incompletos sejam completados, incluindo, se necessário, através de uma declaração adicional.
Possível castigo…
É difícil não sentir um certo pavor ao ler as disposições do artigo 83º do regulamento, que dizem respeito à aplicação de coimas.
Vejamos alguns aspectos específicos:
A violação das obrigações do responsável pelo tratamento e do subcontratante e a violação das obrigações do organismo de controlo estão sujeitas a multas administrativas até 10 000 000 euros ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado:
No entanto, as coimas mais elevadas estão reservadas para quem violar as seguintes disposições:
- Os princípios básicos do tratamento, incluindo as condições de consentimento;
- Os direitos dos titulares dos dados;
- A transferência de dados pessoais para um destinatário num país terceiro ou numa organização internacional;
- Obrigações decorrentes da legislação do Estado-Membro adoptada ao abrigo do Capítulo IX;
- Incumprimento de uma ordem de restrição temporária ou definitiva relativa ao tratamento ou à suspensão dos fluxos de dados emitida pela autoridade de controlo ou não fornecimento de acesso;
Nestes casos, as infracções às disposições estão sujeitas a multas administrativas até 20 000 000 euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial no exercício financeiro anterior, consoante o montante que for mais elevado:
Resumindo: como é que a tua empresa/agência pode cumprir estas alterações necessárias à regulamentação da proteção de dados pessoais, de modo a evitar estas multas?
- Dedica alguns minutos a estudar o assunto com o pormenor necessário.
- Introduzir/adaptar os teus empregados e as tecnologias da tua instituição aos novos regulamentos.
- Toma conhecimento de quaisquer violações e comunica-as atempadamente.
- Nomeia um responsável pela proteção de dados para analisar os seus processos de proteção e segurança dos dados pessoais.
Esperamos que este artigo sobre a nova regulamentação europeia em matéria de proteção de dados pessoais, que entrará em vigor em maio de 2018, te ajude a preparar a tua organização e a evitar uma multa!
Se precisares de mais informações ou quiseres partilhar a tua opinião connosco, não hesites em contactar-nos!
