1. Identificação do Assunto.
Foi publicado o Regulamento EU 2016/679 do Parlamento e do Conselho, de 27 de abril. Tratando-se de um Regulamento Comunitário, embora possa ser adaptado pela legislação nacional, terá aplicação direta nas situações de âmbito nacional incluídas no seu âmbito.
O regime do Regulamento entrará em vigor em 25 de maio de 2018.
As regras desta nova regulamentação têm aplicação a todas as entidades que procedam à recolha de quaisquer dados pessoais de clientes, trabalhadores ou outros, incluindo o nome, morada, número de telefone, número de identificação civil e fiscal.
A forma como essa recolha pode ser feita e os dados guardados é o objeto essencial do identificado Regulamento.
2. Objeto: Regulamento Geral de Proteção de Dados.
O objetivo principal do regime do novo Regulamento é o de proteger as pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Aplica-se a todas as entidades que procedam à recolha e tratamento de dados pessoais no exercício de uma atividade de transação de bens ou serviços.
Note-se que a entrada em vigor do Regulamento não determina automaticamente a revogação da Lei 67/98, de 26 de outubro que atualmente regula o tratamento dos dados pessoais.
Em algumas matérias, de resto, terá que se manter essa regulação, em particular, no que toca à videovigilância e outras formas de captação, tratamento e difusão de som e imagem, que o Regulamento nem sequer trata.
3. O consentimento.
Apenas se pode proceder à recolha e tratamento de dados num dos seguintes casos:
a. Quando o titular dá o seu consentimento;
b. Quando o tratamento for necessário para diligências pré-contratuais, para a execução do contrato no qual o titular dos dados é parte ou a seu pedido, ou para o cumprimento de uma obrigação jurídica;
c. Para a defesa de interesses vitais do titular dos dados ou para interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros;
d. Quando for necessário ao exercício de funções de interesse público.
A informação a prestar pelo responsável pelo tratamento dos dados acerca dessa atividade tem que ser clara, precisa e de fácil compreensão, podendo ser utilizadas cláusulas-tipo de proteção de dados adotadas pela Comissão Nacional de Proteção de Dados (CNPD). O responsável pelo tratamento pode acrescentar outras cláusulas ou garantias adicionais (desde que não entrem em contradição com as cláusulas contratuais-tipo adotadas pela Comissão ou por uma autoridade de controlo).
Em princípio, apenas mediante a prestação de consentimento os dados pessoais podem ser recolhidos e tratados. O consentimento pode ser retirado a qualquer momento.
Para ser válido, o consentimento deve corresponder a uma manifestação de vontade, livre, específica, informada e explícita.
No caso de menores de 16 anos (ou menos, desde que superior a 13), o consentimento tem que ser prestado por quem exerça as responsabilidades parentais.
Na medida em que o responsável pelo tratamento de dados poderá ter que demonstrar que obteve o consentimento do titular dos dados, é de toda a conveniência que o consentimento seja prestado por escrito. A manifestação de consentimento deve ser claramente distinta das demais declarações que constem do mesmo documento, quando for caso disso.
O responsável pelo tratamento tem ainda que conservar um registo de todas as atividades relativas à consulta e transmissão de dados em tratamento sob a sua responsabilidade. Para tal, deverá estabelecer as regras internas necessárias a um eficaz controlo dessa recolha e tratamento. Esta obrigação é vinculativa apenas para entidades com mais de 250 trabalhadores ou que tratem dados sensíveis, ainda que as demais o devam fazer igualmente por cautela e facilidade de demonstração do cumprimento das regras definidas.
O responsável pelo tratamento dos dados tem que informar o titular, previamente à obtenção do seu consentimento, da identidade do responsável pelo tratamento (seja o próprio ou um terceiro), das finalidades a que se destinam os dados recolhidos (se houver posterior alteração, tem que ser feita nova comunicação, prévia à utilização para o novo fim), o prazo de conservação dos dados, o direito a consultar e alterar os seus dados sempre que o entenda.
Os responsáveis pelo tratamento devem rever os consentimentos que tenham recolhido no sentido de confirmar se cumprem os requisitos do Regulamento. Não cumprindo ou havendo dúvidas, deve obter-se um novo consentimento, sob pena de os dados não poderem ser tratados e deverem ser eliminados.
A inclusão de dados em bases que facilitem o seu tratamento autonomizado para permitir, por exemplo, a definição de perfis, apenas será admitida no caso de tal inclusão ser expressamente autorizada pelo titular dos dados.
No caso de serem recolhidos dados sensíveis, o consentimento deve expressamente abranger esses dados, uma vez que, em princípio, é proibida a sua recolha e tratamento.
Foi ampliado, através das disposições do Regulamento, o leque de categorias especiais de dados, passando a incluir-se também e expressamente os dados biométricos. Nos termos do artigo 7.º da Lei 67/98, de 26 de outubro (Lei de Proteção de Dados Pessoais), já são considerados dados sensíveis os que digam respeito a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, saúde e vida sexual, e os dados genéticos.
Ainda que não havendo expresso consentimento, e em caso de necessidade, podem estes dados ser tratados, designadamente, para efeitos de medicina no trabalho, de interesse público relevante ou vital do titular dos dados ou de terceiros, ou no caso de terem sido manifestamente tornados públicos pelo seu titular.
4. Direito ao esquecimento.
O titular pode solicitar, a todo o tempo, o apagamento dos seus dados pessoais no caso, designadamente, de os dados se terem tornado dispensáveis para o fim que motivou a sua recolha, de o titular retirar o seu consentimento ou de o seu tratamento ter sido ilícito.
Quando seja exercido este direito e os dados tenham sido tornados públicos, a entidade responsável pela sua gestão deve procurar garantir o seu efetivo apagamento. No caso de os dados apenas terem sido usados pela entidade que os recolheu, estes deverão ser destruídos.
Sempre que possível, e ainda como forma de defesa e prevenção da violação dos dados recolhidos, devem ser tratados de forma a não se permitir a identificação do titular de tais dados. É o que se entende por pseudonimização: tratamento de dados para que deixe de ser possível identificar o seu titular sem o recurso a dados adicionais, que devem ser guardados separadamente.
O titular dos dados terá igualmente direito à retificação ou atualização dos seus dados, a que o responsável pelo tratamento deverá dar cumprimento – ainda que possa justificadamente ser mais demorado – no prazo de 1 mês.
Para além da possibilidade de pedir o apagamento dos dados, o titular pode apenas opor-se à utilização dos seus dados, assim o comunicando à entidade responsável pelo seu tratamento. Apenas no caso de razões imperiosas e legítimas pode esta solicitação ser recusada.
5. Direito à portabilidade de dados.
O titular dos dados tem direito a receber os dados recolhidos em formato de uso corrente e de leitura automática, podendo livremente transmiti-los a terceiros. Se tal for tecnicamente possível, os dados devem ser diretamente transmitidos entre os responsáveis pelo tratamento dos dados.
Só assim não será se estiver em causa tratamento indispensável ao exercício de funções de interesse público ou para o exercício da autoridade pública.
Qualquer alteração nos dados recolhidos e em tratamento, a sua limitação ou apagamento têm que ser comunicados ao titular dos dados pelo responsável pelo seu tratamento.
6. Encarregado de Proteção de Dados.
O Regulamento cria a figura do Encarregado de Proteção de Dados (EPD). Apenas será exigida no caso de o tratamento ser efetuado por uma autoridade pública, de as atividades principais do responsável pelo tratamento consistirem em operações de tratamento que exijam um controlo regular ou em grande escala de categorias especiais.
O tratamento de dados pessoais não deverá ser considerado de grande escala se disser respeito aos dados pessoais de pacientes ou clientes de um determinado médico, profissional de cuidados de saúde, hospital ou advogado.
O EPD pode ser um trabalhador da entidade responsável pelo tratamento e ocupar-se de um conjunto de vários estabelecimentos, desde que sempre acessível em todos eles.
O EPD deve ter conhecimento e capacidade técnica no domínio da proteção de dados.
A função principal do EPD é a de informar o responsável pelo tratamento sobre os deveres em matéria de proteção de dados, controlar a conformidade das práticas da empresa com o Regulamento e estabelecer os contractos necessários com as autoridades de controlo (CNPD, no caso português).
A entidade responsável pelo tratamento dos danos tem a obrigação de verificar, através do EPD, se está em estrito cumprimento com a lei, não sendo obrigatória a autorização prévia da CNPD para que se proceda à recolha (apenas continua a ser exigida no caso de se verificar um risco elevado).
Os responsáveis pelo tratamento têm de comprovar que cumprem com o Regulamento, ou seja, que os dados pessoais em sua posse estão e são seguros, legítimos, confidenciais e limitados ao estritamente necessário, que têm procedimentos e registos probatórios em estrito cumprimento com o Regulamento.
É, designadamente, necessário que as entidades responsáveis pelo tratamento estabeleçam políticas e procedimentos que possibilitem reagir a situações de falhas de segurança. Nesse caso, notifica, em 72 horas, a Comissão Nacional de Proteção de Dados e os titulares dos dados que foram afetados.
A CNPD mantém, claro, um papel de fiscalização.
7. Subcontratação do tratamento de dados.
O responsável pelo tratamento pode recorrer a subcontratantes (celebrando um contrato escrito) que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas.
Compete ao subcontratante garantir que detém as autorizações respetivas dos responsáveis pelo tratamento, exigidas expressamente pelo novo Regulamento, ainda que, em caso de incumprimento, o responsável pelo tratamento dos dados possa responder juntamente com o subcontratante, quando ambas as entidades estabeleçam as regras de recolha e tratamento dos dados.
A informação, designadamente, quanto à entidade e o contacto do responsável pelo tratamento dos dados tem que ser fornecida ao seu titular, bem como as finalidades para as quais os dados serão usados, o prazo de guarda dos dados, devem ser prestadas gratuitamente ao titular dos dados.
Na prática, e juntamente com a recolha do consentimento do titular dos dados, deve ser-lhe entregue um documento com toda a informação relevante que diga respeito aos seus dados pessoais, aos seus direitos e ao tratamento que lhes será dado.
Em alguns casos, pode justificar-se a cobrança de um valor a pagar pelo titular, se, por exemplo, houver repetidos pedidos da prestação desta informação ou se tal pedido for manifestamente infundado.
8. Incumprimento do Regulamento.
O incumprimento do disposto no Regulamento pode implicar a aplicação de sanções.
a. Multas até 10 ou 20 milhões ou, no caso de uma empresa, até 2% ou 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado, consoante o tipo de infração em causa;
b. O infrator pode ainda responder pelos danos causados ao titular dos danos pelos danos materiais e pelos danos imateriais causados.
Os titulares dos dados terão direito a apresentar reclamação e direito a uma ação judicial efetiva.
9. Transmissão de dados.
Poderão ser efetuadas transferências de dados em determinadas circunstâncias em que o titular dê o seu consentimento explícito, em que a transferência seja ocasional e necessária em relação a um contrato ou a um contencioso judicial, incluindo procedimentos junto de organismos de regulação.
Sempre que os dados pessoais forem objeto de tratamento para efeitos de comercialização direta, o titular deverá ter o direito de se opor, em qualquer momento e gratuitamente, a tal tratamento. Esse direito deverá ser explicitamente levado à atenção do titular e apresentado de modo claro e distinto de quaisquer outras informações.
A transmissão de dados para terceiros, se houver, deve ser expressamente regulada neste contrato que seja celebrado. Há regras estritas a cumprir no caso de se permitir esta transmissão.
10. Prazo de Guarda da Informação.
O responsável pelo tratamento ou o subcontratante deverá conservar registos de atividades de tratamento sob a sua responsabilidade. São obrigados a cooperar com a autoridade de controlo e a facultar-lhe esses registos, a pedido, para fiscalização dessas operações de tratamento.
Após concluído o tratamento por conta do responsável pelo tratamento, o subcontratante deverá, consoante a escolha do primeiro, devolver ou apagar os dados pessoais.
O prazo de guarda dos dados recolhidos pode estar fixado desde o início, por norma legal que se aplique, ou ficar dependente da verificação de determinadas condições ou critérios. Num caso e noutro, a informação acerca do período de guarda dos dados ou os critérios a que fica sujeita a fixação de tal período tem que ser comunicada aos titulares dos dados.
O titular dos dados pode ainda pedir a limitação do tratamento, sempre que se verifique alguma inexatidão e pelo período de correção dessas imprecisões, quando o tratamento for ilícito e o responsável pelo tratamento propuser a limitação do uso em alternativa ao seu apagamento, quando os dados já ao forem necessários mas apenas para efeitos de uso em processo judicial, quando o titular se tiver oposto ao uso dos seus dados e enquanto se não verificar se os interesses do responsável pelo tratamento devem prevalecer.
No caso da limitação do tratamento dos dados, estes apenas poderão ser usados mediante expresso consentimento do titular.
11. Em Conclusão.
Recomenda-se:
a. A revisão de todos os formulários, em formato papel ou eletrónico, através dos quais se recolham dados pessoais;
b. A designação de um responsável pelo tratamento dos dados;
c. A elaboração de um manual de procedimentos internos relativo à recolha, consulta, tratamento e disponibilização dos dados;
d. A padronização dos termos a informar aos titulares dos dados recolhidos.
Alcides Martins, Bandeira, Simões & Associados,
Sociedade de Advogados, SP, RL