RGPD: estamos mesmo protegidos?

A jurista Bárbara Pestana analisa as principais preocupações que as empresas devem ter, em face do Regulamento Geral sobre Proteção de Dados.

Bárbara Pestana, advogada e sócia da PMCM – Advogados.

A internet veio para ficar e mudou a forma de fazer negócios, a forma de ganhar dinheiro e, de uma forma geral, mudou toda a economia. Hoje quem não está online, está morto. Do ponto de vista social e económico.

Em 25 anos passámos de uma economia tradicional para uma economia digital. Vivemos, claramente, na era da inteligência em rede. Podemos comprar e vender produtos de e para qualquer parte do mundo, receber e prestar serviços de e para qualquer lugar. Com o fenómeno das redes sociais, estamos em linha 24/24h, mostramos ao mundo como somos fisicamente, as nossas preferências, a nossa família, convicções políticas, religiosas, etc. Somos, no fundo, um livro aberto, a começar pelos nossos dados pessoais que partilhamos de forma inadvertida e sem controlo. Desconhecemos quem recolhe, quem trata e quem armazena os nossos dados.

Esta nova realidade exigiu uma tutela legislativa mais forte e efetiva por toda a Europa, o que justificou a aprovação do tão falado Regulamento Geral sobre Proteção de Dados (RGPD) – Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à respetiva livre circulação. Com uma legislação europeia coerente e uniforme, será mais fácil e eficaz garantir a proteção dos dados pessoais dos cidadãos. O RGPD veio impor ao responsável pelo tratamento de dados um dever proativo de assegurar que o referido tratamento é efetuado de forma segura, exigindo, na maior parte dos casos, uma reorganização técnica e operacional da empresa.

As empresas devem preocupar-se com os seguintes temas:

O consentimento – deve ser expresso, esclarecido e específico. Quer isto dizer que é necessário pedir autorização ao titular dos dados pessoais para recolhê-los, utilizá-los e guardá-los. Ao fazê-lo, deve ser prestada informação clara sobre a finalidade especifica da recolha e utilização dos dados, bem como o tempo em que os mesmos serão guardados pelo responsável do tratamento de dados.

O reforço das medidas de segurança – é fundamental que o responsável pelos dados pessoais recolhidos salvaguarde a inviolabilidade daqueles. Para tal deve implementar todas as medidas técnicas, estruturais e organizativas necessárias e adequadas a assegurar a segurança dos dados pessoais, sob pena de sujeição a multas muito avultadas.

Ainda este ano, a British Arways foi condenada a pagar a quantia de 204,64 milhões de euros, por ter falhado na proteção dos dados dos seus clientes. O tráfego de utilizadores do site da BA foi direcionado para um site fraudulento, tendo como resultado o acesso por hackers a dados dos seus clientes, designadamente, nomes, moradas, dados de acesso, etc.

O controlo de acesso e registo de atividade – significa que é necessário controlar quem consultou e quem usou os dados pessoais, bem como manter um registo da atividade de tratamento de dados, registar as violações de dados pessoais e falhas de segurança que eventualmente se verifiquem.

O direito ao esquecimento – o titular dos dados pessoais tem direito ao apagamento dos seus dados, no caso de o respetivo tratamento ser ilícito ou ir além da medida para a qual foram obtidos, ou ainda caso se tratem de dados sensíveis (tais como os relativos à saúde, biométricos, relativos a crenças religiosas ou políticas, etc.).

Em França, colocou-se a questão de saber se o direito ao esquecimento vigora apenas em território europeu ou se, pelo contrário, se transpõem para estados terceiros, num processo movido contra a Google.

O Tribunal de Justiça da União Europeia, decidiu a favor da Google, ao considerar que o direito ao esquecimento não precisa de ser aplicado em motores de busca de todo o mundo, mas deve sê-lo em referências do domínio nos Estados Europeus (google.pt, google.es, google.fr). Mais considerou que o operador deve tomar todas as medidas necessárias e adequadas à supressão total das referências aos dados pessoais, designadamente, o chamado “bloqueio geográfico” quando a pesquisa é efetuada através de um IP localizado num dos Estados-Membros, independentemente da referência do domínio utilizado. No entanto, “o direito fundamental ao esquecimento deve ser ponderado com o interesse legítimo do público em aceder à informação procurada”

O acesso, informação e retificação – O RGPD atribui ao titular dos dados pessoais o direito de acesso aos mesmo e saber se estão a ser tratados, em que termos e para que efeitos, bem como o direito de obter a retificação dos referidos dados pessoais caso sejam inexatos ou incompletos. Uma nota para dizer que o direito de acesso não é absoluto, pois só poderá ser exercido na medida em que não limite ou prejudique a sociedade democrática.

A portabilidade – salvo as devidas exceções determinadas na lei, o titular dos dados tem o direito de transmitir os dados pessoais que lhe pertencem e que estão a ser tratados por um determinado responsável, a outro responsável de tratamento de dados.

A notificação da violação de dados pessoais – quer isto dizer que o responsável pelo tratamento de dados, na eventualidade de risco para os direitos, liberdades e garantias dos titulares dos dados, tem a obrigação de notificar a autoridade de controlo (em Portugal, a Comissão Nacional de Proteção de Dados Pessoais – CNPD), bem como notificar o titular dos dados sempre que da violação dos dados pessoais resulte um elevado risco para os direitos, liberdades e garantias das pessoas singulares, exceto se o responsável pelo tratamento de dados tiver aplicado medidas de proteção adequadas a eliminar ou enfraquecer substancialmente tal risco.

O direito de oposição – significa que o titular dos dados pode opor-se ao tratamento de dados por uma determinada entidade que, logo que seja notificada da tal oposição deve abster-se de tratá-los, exceto se esta apresentar razões legítimas e fortes que prevaleçam sobre os direitos, liberdades e garantias do titular (a defesa em processo judicial, por exemplo).

Em Portugal foi publicada a Lei de execução do RGPD (Lei 58/2019, de 8 de Agosto), diploma envolto em polémica pois a CNPD já decidiu desaplicar algumas das suas disposições, por entender que as mesmas contrariam o Regulamento Geral. Recordamos, neste ponto, que, ao contrário das Diretivas, os Regulamentos não carecem de transposição e dispõem de efeito direto para os particulares e empresas.

É, pois, neste clima de relativa incerteza que nos devemos interrogar se estamos efetivamente protegidos. Edward Snowden já veio alertar que “o Regulamento é um bom passo para proteger a privacidade dos cidadãos, mas parte de um pressuposto errado. O problema não é a proteção de dados, mas a recolha de dados”. Uma visão avisada de quem sabe do que fala.

Parcerios Premium
Parcerios