sysblog

Regulamento (europeu) geral de Proteção de Dados

Caso 2015 seja o ano em que finalmente a Comissão Europeia aprove e implemente o Regulamento Geral de Proteção de Dados, muita coisa mudará no modo como as organizações processarão dados pessoais de cidadãos. E, considerando a gravidade dos incumprimentos, fortes imposições comportamentais serão também colocadas sobre os seus colaboradores.

Não se tratando de uma Diretiva (que teria de ser transposta para os vários países), este Regulamento será imediatamente aplicável em todos os Estados Membros sem necessidade de transposição. Entre outros aspetos gerais de natureza política (harmonização entre todos os países, aplicação extra-territorial, existência de um único regulador e aproximação da legislação aos desenvolvimentos tecnológicos mais recentes), as implicações mais principais e pragmáticas para as organizações são as seguintes:

Com o novo regulamento as organizações que processem dados sensíveis, ou dados de mais de 5000 titulares, passarão a ser obrigadas a ter um Data Protection Officer.

 

Consentimento – o consentimento dado pelos cidadãos ao tratamento dos seus dados terá de ser livre, específico, informado e expresso, tendo o responsável pelo tratamento (a organização) o ónus da prova da atribuição de tal autorização. Adicionalmente, a cláusula do consentimento não poderá mais estar “discretamente” incluída no meio do restante clausulado dos contratos, sendo obrigatório o seu destaque.

 

Direito ao esquecimento (right to erasure) – Em circunstâncias particulares, os cidadãos têm o direito de obter dos responsáveis pelo tratamento a eliminação dos dados pessoais, a abstenção de posterior tratamento e ainda obterem de terceiros a eliminação de todas as cópias e links para os seus dados.

 

Notificação de violações – um dos aspetos mais severos, dado o potencial de mediatização e impacto público, deste regulamento é a obrigação que as organizações responsáveis pelo tratamento dos dados passam a ter de notificar – em 72 horas no máximo – o regulador responsável sobre violações de privacidade. Tal ganha efetiva relevância dado ser obrigação do regulador manter um registo público do tipo de violações notificadas. Adicionalmente, deverão ainda notificar os titulares dos dados comprometidos, através de uma linguagem clara e simples, apresentando uma explicação completa da ocorrência bem como todos os direitos que os titulares têm, incluindo o direito a receberem uma compensação.

 

Data Protection Officer – muitas organizações, nomeadamente a administração pública e entidades que processem dados sensíveis ou dados de mais de 5000 titulares, passarão a ser obrigadas a ter um Data Protection Officer. Este quadro especializado terá como missão vigiar o cumprimento do regulamento, trabalhar com os representantes dos trabalhadores, notificar as violações de dados verificadas e realizar auditorias regulares. Um aspeto altamente relevante é que será um trabalhador protegido a operar em relativa autonomia inclusivamente com relação à cúpula decisora da organização.

 

Sanções por incumprimento – a cereja no topo do bolo são as coimas relativas às violações que poderão ascender ao valor maior entre 5% do volume de negócios anual da organização ou 100 milhões de euros. Os critérios a serem usados para definir o valor concreto da coima incluirão os controlos técnicos e administrativos em vigor e ainda o due care verificado na organização que visem a proteção da informação. Entre outros aspetos validar-se-á a segurança efetiva colocada no tratamento dos dados, a realização de análises de impacto à proteção dos dados aquando da operacionalização de novos sistemas e processos, a realização de auditorias regulares e ainda a nomeação do supra-mencionado Data Protection Officer.
É caso para dizer que dias complicados antecipam-se para as organizações menos preocupadas com a privacidade dos seus clientes, trabalhadores e outros cidadãos cuja informação pessoal e sensível seja por elas processada.