O que preciso saber sobre o regulamento RGPD?

Legislação de privacidade

A legislação de privacidade não é novidade. Na União Europeia (UE), cada Estado-Membro tem ainda a sua própria lei de privacidade. Estas leis nacionais baseiam-se na Diretiva Europeia de Privacidade de 1995. Nos Países Baixos, a implementação nacional desta diretiva é a Lei de Proteção de Dados Pessoais (Wbp).

A partir de 25 de maio de 2018, o Regulamento Geral sobre a Proteção de Dados (RGPD ou GDPR em inglês) passou a ser aplicável. Isso significa que, a partir dessa data, existe apenas uma lei de privacidade em toda a UE. A Wbp deixou de ser aplicável, mas os princípios fundamentais dessa legislação continuam a constituir o núcleo do novo RGPD. A Autoridade de Proteção de Dados supervisiona o cumprimento das normas legais de proteção de dados pessoais.

Qual é o objetivo geral do RGPD?

O objetivo geral do Regulamento Geral sobre a Proteção de Dados é proteger os cidadãos da UE no domínio da regulamentação de privacidade e dos dados pessoais. O RGPD confere direitos relativos aos dados pessoais partilhados com organizações que recolhem, armazenam e tratam esses dados pessoais.

A quem se aplica o RGPD?

O RGPD aplica-se a qualquer organização que recolha dados pessoais de cidadãos da UE. Uma organização não precisa de estar estabelecida na UE para estar sujeita às condições do RGPD. Se uma organização estiver fora da UE e recolher dados pessoais provenientes da UE, o RGPD aplica-se a essa organização.

O que vai mudar?

O novo regulamento RGPD reforça as regras da atual Lei de Proteção de Dados Pessoais. Em última análise, muito permanece igual. A minimização de dados, o direito ao esquecimento, as obrigações de informação e os acordos de subcontratação já constavam da lei, ainda que por vezes com outros nomes.
Uma boa política de privacidade, uma declaração de privacidade compreensível, acordos adequados entre processadores e responsáveis, e um procedimento para violações de dados continuam a ser importantes.

Muitas das regras existentes foram consideravelmente reforçadas no novo RGPD, e foram adicionadas novas obrigações. É dada maior ênfase à responsabilidade das próprias organizações em cumprir a lei e em demonstrar que o fazem.

O que posso fazer por conta própria?

Como organização, já pode tomar medidas para estar preparado para o RGPD. Para o ajudar, a Autoridade de Proteção de Dados listou os 10 passos mais importantes.

O que são dados pessoais?

O RGPD estabelece que um dado pessoal é qualquer informação relativa a uma pessoa singular identificada ou identificável. Existem muitos tipos de dados pessoais. Os dados mais óbvios são o nome, morada e localidade de uma pessoa. Mas também os números de telefone e os códigos postais com número de porta são dados pessoais. Dados sensíveis como a raça, religião ou saúde de uma pessoa são também designados por dados pessoais especiais. Estes são objeto de proteção adicional pela lei.

O que implica o tratamento de dados pessoais?

Por tratamento entende-se: todas as operações que uma organização pode realizar com dados pessoais, desde a recolha até à destruição. A lei menciona como exemplos de tratamento: a recolha, registo, organização, conservação, atualização, alteração, consulta, utilização, divulgação por transmissão, difusão, disponibilização, combinação, interligação, limitação, apagamento e destruição de dados.
A lei determina que uma organização só pode tratar dados pessoais quando tal seja necessário para uma finalidade específica.

Princípios do tratamento

O RGPD introduz princípios fundamentais aos quais todo o tratamento de dados pessoais deve obedecer:

• os dados pessoais devem ser tratados de forma lícita, leal e transparente;
• os dados pessoais só podem ser tratados para finalidades determinadas, explícitas e legítimas;
• apenas os dados pessoais necessários para a finalidade podem ser tratados;
• os dados devem ser exatos e atualizados;
• quando a identificação já não for necessária para a finalidade, os dados pessoais devem ser eliminados ou anonimizados, e;
• os dados pessoais devem ser protegidos através de medidas técnicas e organizacionais adequadas.

Terminologia: responsável pelo tratamento/subcontratante

O RGPD utiliza os conceitos de 'responsável pelo tratamento' e 'subcontratante' em vez dos conceitos de 'responsável' e 'processador' da Wbp. Na versão portuguesa do RGPD, foram dadas as seguintes definições:

Responsável pelo tratamento
Uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou outro organismo que, individualmente ou em conjunto com outros, determine as finalidades e os meios do tratamento de dados pessoais. Estes são os clientes da Teqa que utilizam o i-Reserve como produto.

Subcontratante
Uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento. Somos nós, enquanto organização, na qualidade de fornecedor do i-Reserve, e o nosso administrador de servidor no que diz respeito ao alojamento do i-Reserve.

O titular dos dados
É a pessoa cujos dados pessoais são tratados por uma organização. Trata-se portanto da pessoa a quem os dados pessoais dizem respeito. São os seus clientes, os utilizadores finais.

O tratamento de dados pessoais especiais
Além dos dados pessoais comuns, a lei prevê também dados pessoais especiais. Trata-se de dados tão sensíveis que o seu tratamento pode prejudicar gravemente a privacidade de uma pessoa. De acordo com o RGPD, o tratamento de dados pessoais especiais é proibido, salvo se for aplicável uma exceção.

Os dados pessoais especiais são dados pessoais relativos à origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométicos para identificação única de uma pessoa, dados relativos à saúde, vida sexual ou orientação sexual. Esses dados só podem ser tratados em condições muito rigorosas.

Quais são as principais alterações para as organizações?

Quando o regulamento geral sobre a proteção de dados é aplicável, as organizações que tratam dados pessoais têm mais obrigações.

Consentimento
Uma novidade é que a organização deve ser capaz de demonstrar que obteve o consentimento válido das pessoas para tratar os seus dados pessoais, e que deve ser igualmente fácil para as pessoas retirar o seu consentimento como dá-lo. Este deve ser uma manifestação de vontade 'inequívoca'. Portanto, sem caixas pré-selecionadas! O pedido de consentimento deve ser claro, compreensível e apresentado em linguagem simples.
Enquanto organização, deve ser possível provar que o titular dos dados deu o seu consentimento. O titular dos dados tem o direito de retirar o consentimento a qualquer momento e deve ser informado desse direito.

ATENÇÃO:
Pedir consentimento para o registo de dados pessoais nem sempre é necessário. Por exemplo, enquanto os dados registados se limitam ao que é necessário para a execução do contrato celebrado. Noutros casos, deve pedir consentimento. Para saber o que se aplica à sua situação, encontra aqui mais informações.

Obrigação de registo
O RGPD impõe uma obrigação de documentação, o que significa que deve ser possível demonstrar que a organização age em conformidade com o RGPD. Pense no consentimento, nas informações prestadas, nos direitos dos titulares dos dados, na segurança dos dados, na minimização dos tratamentos e nos acordos com os subcontratantes. Portanto: mapeie os tratamentos de dados na organização. Muitas organizações terão de adaptar a sua declaração de privacidade, e isso não é irrelevante. A ausência de uma declaração de privacidade (completa) estará sujeita a uma sanção severa.

Assim que o RGPD for aplicável, cessa a obrigação da Wbp de notificar os tratamentos de dados à autoridade supervisora. Em vez disso, as organizações devem manter o seu próprio registo das atividades de tratamento ('registo de tratamento') que se realizem sob a sua responsabilidade.

Acordo de subcontratação
A celebração de um acordo de subcontratação não é novidade, pois já é obrigatório ao abrigo da Wbp. Com o RGPD, este passa a chamar-se acordo de processamento e é celebrado entre o responsável pelos dados pessoais e a entidade que os trata em seu nome (atualmente conhecida como processador, futuramente subcontratante). A novidade é que o RGPD especifica um conjunto de elementos obrigatórios neste acordo, incluindo:

• a finalidade do tratamento;
• o tipo de dados pessoais tratados;
• as categorias de titulares dos dados;
• que serão tomadas medidas de segurança adequadas;
• que o subcontratante cooperará em auditorias para verificar se cumpre todas as obrigações, e;
• após o término do tratamento, destruição ou devolução dos dados pessoais ao responsável.

O subcontratante não poderá doravante recorrer a uma entidade externa para tratar dados pessoais sem o consentimento prévio por escrito do responsável.

Avaliação de impacto sobre a privacidade (PIA)
Em português, 'avaliação de impacto sobre a proteção de dados', a PIA é um instrumento indispensável para as organizações estimarem ou avaliarem o impacto sobre a privacidade. Através da utilização da PIA, a proteção dos dados pessoais pode fazer parte, de forma estruturada, da ponderação de interesses e da tomada de decisões dentro das organizações.

Na PIA regista-se por que motivo, de que forma e durante quanto tempo os dados pessoais são tratados. A realização de uma Avaliação de Impacto sobre a Privacidade é obrigatória quando o tratamento de dados pessoais, em especial com recurso a novas tecnologias, implica riscos para os titulares dos dados.

Obrigação de notificação de violações de dados
Já conhecemos esta obrigação na lei portuguesa: obrigação de notificação de violações de dados. Esta também está incluída no RGPD e mantém-se em grande parte inalterada. O RGPD impõe requisitos mais rigorosos ao seu próprio registo das violações de dados ocorridas na sua organização. Deve documentar todas as violações de dados.

Evite o stress pensando antecipadamente em como agir quando ocorre um risco de segurança. Assim, enquanto responsável pelo tratamento, em algumas situações deve notificar uma violação de dados à Autoridade de Proteção de Dados no prazo de 72 horas. A violação implica provavelmente um risco elevado para as pessoas a quem os dados dizem respeito? Então, essas pessoas também devem ser informadas da violação. Estabeleça antecipadamente um fluxo de trabalho para incidentes de segurança, no qual as pessoas competentes possam tomar decisões atempadas sobre as ações a seguir.

A Autoridade de Proteção de Dados publicou diretrizes sobre a obrigação de notificação de violações de dados.

Poderá necessitar de um encarregado de proteção de dados
Um encarregado de proteção de dados (DPO), ou seja, o funcionário para a proteção de dados (FG), é uma pessoa independente dentro da organização que aconselha e reporta sobre o cumprimento do RGPD. O responsável pela privacidade não era obrigatório ao abrigo da Wbp, mas sob o RGPD é-o em algumas situações. De acordo com a lei, é obrigatório quando a sua organização trata dados pessoais sensíveis em grande escala, como dados de saúde, ou quando monitoriza sistematicamente pessoas (física ou digitalmente). Um encarregado de proteção de dados pode ser uma pessoa nomeada internamente, mas também pode ser uma pessoa nomeada externamente.

Direitos do titular dos dados
Os dados pessoais devem ser tratados de forma lícita, leal e transparente em relação ao titular. A transparência é prioritária: o titular dos dados deve ser informado sobre o que acontece com os seus dados pessoais. Tudo deve ser comunicado em linguagem simples e clara.
Além do conhecido direito de acesso, retificação e oposição, o titular dos dados tem também, ao abrigo do RGPD:

• o direito ao esquecimento,
• o direito à portabilidade dos seus dados (também designado: dataportabilidade),
• o direito de limitar o tratamento e
• o direito de se opor a determinados tratamentos. O titular dos dados tem sempre o direito de se opor ao tratamento dos seus dados para fins de marketing direto. Se o titular dos dados apresentar tal oposição, os seus dados não podem mais ser tratados para fins de marketing.

Direito de acesso
Um titular dos dados tem o direito de saber junto do responsável pelo tratamento se os seus dados pessoais estão a ser tratados. Quando os dados pessoais são tratados, o titular dos dados tem direito a informações sobre esses dados. O titular dos dados tem, entre outros, direito a informações sobre:

• as finalidades do tratamento;
• as categorias de dados pessoais em causa;
• os destinatários a quem os dados pessoais são fornecidos;
• o período de conservação;
• o facto de o titular dos dados ter o direito de apresentar um pedido de retificação, um pedido de apagamento ou limitação dos dados e o direito de se opor;
• o facto de o titular dos dados poder apresentar uma reclamação.

Direito de retificação e direito de oposição
Um titular dos dados tem o direito de obter do responsável pelo tratamento a correção de dados pessoais inexatos. Tal deve ocorrer sem demora injustificada. Contra determinadas formas de tratamento de dados, o titular dos dados pode opor-se, podendo resultar na cessação do tratamento dos seus dados pessoais. Pense numa organização que utiliza dados pessoais para fins de marketing. (Atualmente, já existe um direito absoluto de oposição para marketing direto. Se um titular dos dados exercer este direito, não pode mais ser contactado para fins de marketing).

Direito ao esquecimento
Em algumas situações, o titular dos dados tem o direito de solicitar o apagamento total dos seus dados. O RGPD acrescentou fundamentos adicionais para este direito. O RGPD introduz o direito ao esquecimento. Isso significa que o responsável pelo tratamento deve apagar os dados pessoais sem demora injustificada, por exemplo quando os dados pessoais já não são necessários para as finalidades para as quais foram recolhidos ou tratados. Torna-se também obrigatório, em caso de tal pedido, informar as entidades com quem os dados foram partilhados. Os nomes dessas entidades devem igualmente ser comunicados ao titular dos dados. O responsável pelo tratamento deve tomar medidas razoáveis para eliminar os dados, bem como para apagar qualquer ligação, cópia ou reprodução.

Consulte também a possibilidade de anonimizar automaticamente os dados em i-Reserve.

Direito à portabilidade dos dados
O RGPD introduz o direito à portabilidade dos dados, ou seja, a transferibilidade dos dados pessoais. Isso significa que pode receber pedidos dos seus clientes para disponibilizar os seus dados pessoais. Trata-se de todos os dados digitais que uma organização trata com o consentimento do titular dos dados, bem como os dados necessários para a execução de um contrato. Também um histórico de pesquisa ou dados de localização estão abrangidos pelo direito à portabilidade. A sua organização fica então legalmente obrigada a fornecer os dados num formato 'estruturado, de uso corrente e legível por máquina'. Pode preparar-se para isso pensando antecipadamente em como vai disponibilizar os dados. Por exemplo, através de uma ferramenta que permita aos seus clientes descarregar os seus dados diretamente de forma segura.

Se for tecnicamente possível, o responsável pelo tratamento deve transmitir os dados diretamente a outro responsável pelo tratamento. Isso pode ser feito, por exemplo, com uma Interface de Programação de Aplicações (API), que permite estabelecer uma ligação entre o seu sistema e uma aplicação e o de uma outra entidade.

Em i-Reserve, é possível que o cliente faça download dos seus próprios dados, que o administrador exporte os dados do cliente ou que os dados sejam transmitidos via API.

Privacidade por defeito e Privacidade por design
O RGPD introduz uma obrigação de proteção de dados através de configurações predefinidas (Privacy by default) e através de funcionalidades configuráveis (Privacy by design) no software.

A obrigação de Privacy by default implica que deve tomar medidas técnicas e organizacionais para garantir que, por defeito, apenas trata dados pessoais que sejam necessários para a finalidade específica que pretende alcançar. Quando os utilizadores podem ajustar as suas próprias configurações de privacidade, estas devem, por exemplo, ser definidas por defeito no nível mais elevado.

A obrigação de Privacy by design implica que, já na fase de conceção de produtos, serviços e processos organizacionais, deve garantir a proteção dos dados pessoais.

Exemplos:

• Ao disponibilizar uma aplicação, não registar a localização dos utilizadores se tal não for necessário;
• No website, não pré-selecionar a caixa 'Sim, quero receber ofertas';
• Quando alguém se queira subscrever a uma newsletter, não solicitar mais dados do que os necessários.

Consulte aqui o que i-Reserve faz em matéria de segurança e proteção de dados pessoais.

A segurança deve estar em ordem - e manter-se assim
A segurança dos dados pessoais é crucial. Sem encriptação, autenticação de dois fatores e a capacidade de separar e apagar com segurança informações pessoais, a sua organização corre um risco muito elevado.

Infrações e sanções
A coima máxima por infração à atual lei de privacidade (Wbp) é de 900.000 euros. Com o RGPD, as autoridades supervisoras nacionais obtêm mais poderes para sancionar as violações do RGPD. As coimas são elevadas e podem ascender a 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, caso uma organização não cumpra os requisitos da lei. As coimas aplicadas nos Países Baixos são emitidas pela autoridade supervisora designada: Autoriteit Persoonsgegevens (AP).
À procura de mais detalhes? Em autoriteitpersoonsgegevens.nl encontra também as respostas às perguntas mais frequentes.

Cookies, spam, e-mail, telemarketing e o RGPD
As regras para o tratamento de comunicações eletrónicas como cookies, rastreamento por Wi-Fi, e-mail, etc., não estão consagradas no RGPD. Encontra-as na Diretiva ePrivacy - uma legislação europeia existente que recebeu uma atualização em 2018. A Diretiva ePrivacy é também conhecida como a lei dos cookies. A União Europeia espera poder lançar as regras atualizadas juntamente com o RGPD, para oferecer de uma só vez aos cidadãos uma maior proteção das suas informações pessoais. De forma mais geral, este texto legal estabelece as regras que as organizações devem seguir para garantir a confidencialidade das comunicações digitais.