O seu Dia a Dia
Tema da Semana

Novo RGPD: saiba como devem passar a ser tratados os seus dados pessoais

Publicado em 06-12-2017

No dia 25 de maio de 2018, entram em vigor novas regras para a proteção de dados. O Regulamento Geral de Proteção de Dados (RGPD) é definido e aplicado a nível europeu. Chega a todos os países da União Europeia ao mesmo tempo e da mesma forma.

Ou seja, ao contrário do que acontece com as diretivas, em que é deixada alguma margem de manobra a cada país para adaptar as regras europeias à sua legislação nacional, um regulamento é composto por um conjunto de artigos com regras concretas, a aplicar sem discrepâncias em todos os países.

Cada Estado tem uma margem mínima para “personalizar” as novas regras e em situações muito pontuais. Por exemplo, cada geografia pode definir a idade mínima com que alguém pode autorizar uma rede social a mexer nos seus dados. O regulamento define que a idade mínima para aceitar ou recusar termos e condições de serviço é de 13 anos, mas os países podem escolher aumentá-la até aos 16 anos.

Outra questão uniformizada pelo novo regulamento é a das multas aplicadas a quem não cumprir as regras. Passam a ser definidas da mesma forma para qualquer país e avançam para valores significativamente maiores do que os previstos à luz do quadro legal anterior. Uma empresa pode ser penalizada em 20 milhões de euros ou 4% da sua faturação anual global, se violar as regras.

Em traços gerais, os dois grandes objetivos do novo quadro legal da proteção de dados são o reforço dos direitos de privacidade de quem usa serviços digitais e a responsabilização das empresas pela proteção dessa informação, induzindo investimentos que garantam essa proteção e impondo mecanismos que obrigam quem gere dados pessoais a provar que cumpre as regras.

No que se refere à privacidade, cada cidadão verá reforçado o chamado direito ao esquecimento, garantindo a possibilidade de ver os seus dados apagados quando um prestador de serviços já não tem uma razão legítima para os guardar.

Passará a receber mais informação e informação mais detalhada sobre o propósito para a recolha dos seus dados, fins e prazo de utilização. As informações pessoais que tenham sido recolhidas sem observar estes requisitos terão de voltar a ser pedidas a cada consumidor.

Por outro lado, as empresas que recolhem e tratam dados pessoais passam a ter de desenhar aplicações e serviços digitais, segundo o princípio privacy by design. Ou seja, devem criar serviços pensados de raiz para garantir a privacidade dos clientes.

Também passam a ter de guardar os dados dos clientes num formato pronto a ler por terceiros, de forma a garantir que quando o cliente muda de prestador de serviços, não terá de fornecer novamente todos os seus dados à nova empresa. O fornecedor antigo já tem a informação necessária para fazer o novo contrato e passa a ter de a transmitir ao concorrente de forma legível, graças à consagração do direito à portabilidade dos dados.

Empresas e organismos públicos que guardem e façam a gestão de dados pessoais, ao abrigo da nova legislação, terão ainda de passar a classificar e mapear todas as informações sensíveis que guardam. A medida pretende contribuir para que saibam exatamente por onde passam esses dados dentro da empresa e quem tem acesso a eles, de forma a poderem aplicar medidas de proteção distintas, consoante o nível de criticidade em questão.

Quando são alvo de ataques que possam expor dados de clientes, as empresas passam a contar com um prazo máximo de 72 horas para divulgar o caso, não só ao regulador, mas também aos clientes com informações expostas em consequência do problema. Em Portugal, caberá à Comissão Nacional de Proteção de Dados monitorizar se as novas regras são cumpridas.