Aplica-se a todas as empresas que tratem de dados pessoais, ou seja, que realizem operações que envolvam dados de pessoas singulares. Estas alterações afetam também todas as empresas que façam o seu negócio com cidadãos da UE, mesmo que a empresa esteja sediada fora da União. Qualquer organização/ empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação. 

Informação relativa a uma pessoa singular identificada ou identificável. Inclui dados genéticos e dados biométricos.

Conceito de identificável inclui o nome, número de identificação, dados de localização, identificadores por via eletrónica, bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Tratamento inclui não só a recolha, mas também todo o “manuseamento”. 

Algumas das inovações do sobredito diploma (ver anexos) – Regulamento (EU) 2016/ 679 do Parlamento Europeu e do Conselho, de 27/ 04/ 2016:

• Coimas máximas de 20 milhões de euros ou 4% do volume de negócios anual do grupo empresarial;
• Substituição das notificações à CNPD por um sistema onde são as empresas que têm de decidir sozinhas se determinado tratamento é legal ou não, os conceitos de privacy by design e privacy by default;
• Obrigação de implementação de medidas de segurança adequadas, como por exemplo mecanismos de encriptação;
• Obrigação de designar um encarregado para a proteção de dados, a alteração das regras sobre obtenção de consentimento, novos direitos atribuídos aos titulares dos dados;
• Implementação do direito de portabilidade, a criação de obrigações acrescidas para os subcontratados;
• Obrigações de notificação relativas a violações de dados pessoais. 

As verificações que devemos fazer? 

• Onde estão os dados pessoais? Sistemas? Papel?
• Estão atualizados? Possuímos um registo organizado?
• Temos consentimento dos titulares de dados com todos os requisitos do RGPD?
• Estamos preparados para dar resposta a todos os direitos dos titulares de dados?
• Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?
• Conseguimos detetar qualquer violação de dados logo que ocorra e comunicá-la em 72 horas?
• Temos políticas e procedimentos que permitam avaliar e gerir os riscos?
• Conseguimos recolher evidências e demonstrar que cumprimos com o RGPD?
• E enquanto processador de dados por conta de terceiros, cumprimos o RGPD?
• Já nomeámos um Encarregado da Proteção dos Dados (DPO)? 

Tal como referido, a aplicação da legislação comunitária em análise está agendada já para Maio, pelo que se revela urgente a consciencialização e formação dos principais sujeitos abrangidos por este novo regulamento, bem assim como que se iniciem as operações tendentes à implementação das boas praticas e regras de regulação e funcionamento que permitam o cumprimento do RGPD.

O RGPD vem precisamente reforçar os direitos dos titulares sobre os seus dados, permitindo-lhes ter conhecimento sobre que dados seus estão a circular, quem os conhece e para que fins serão utilizados. O Regulamento estabelece um conjunto de direitos como:O RGPD vem precisamente reforçar os direitos dos titulares sobre os seus dados, permitindo-lhes ter conhecimento sobre que dados seus estão a circular, quem os conhece e para que fins serão utilizados. O Regulamento estabelece um conjunto de direitos como:

Direito à transparência – Os titulares dos dados têm o direito de saber que tratamentos são efetuados sobre os seus dados.Por exemplo, no caso de estarem a ser recolhidas imagens e som (ou poderem vir a sê-lo) deverá existir informação visível que informe os titulares sobre a realização das gravações.

Direito à informação – Os titulares têm o direito de solicitar ao responsável pelo tratamento dos dados, informações sobre o tipo de tratamento a que os seus dados estão a ser sujeitos. As informações devem ser prestadas por escrito. Se o titular assim o solicitar, a informação poderá ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.Por exemplo, no momento da recolha dos dados, o titular deve ser informado sobre o tratamento de que os mesmos serão alvo.

Direito de acesso – Os titulares têm o direito de saber se os seus dados são ou não objeto de tratamento por parte de uma organização. Caso sejam alvo de tratamento, o titular tem o direito a aceder aos seus dados pessoais e às seguintes informações:

• Finalidade do tratamento;
• Categorias dos dados pessoais em questão;
• Destinatários ou categorias de destinatários a quem os dados são, foram ou serão divulgados;
• Prazo previsto de conservação de dados, ou se tal não for possível, os critérios para fixar esse prazo;
• Garantias de conhecimento e tratamento adequado sempre que os dados forem transferidos para um país terceiro ou uma organização internacional;
• Acesso a uma cópia dos dados pessoais em fase de tratamento.

Se o pedido for apresentado por meios eletrónicos, a informação deverá ser fornecida num formato eletrónico de uso corrente. 

Direito de retificação – Direito de solicitar a retificação de dados incorretos e preenchimento de dados incompletos. Cada retificação efetuada pelo responsável pelo tratamento implica a comunicação dessa alteração às entidades a quem os dados tenham sido transmitidos, salvo se essa comunicação se revelar impossível ou implicar um esforço desproporcionado.

Direito ao apagamento – Os titulares dos dados têm o direito de solicitar o apagamento dos mesmos, o que deverá decorrer sem demora injustificada. O apagamento dos dados é ainda obrigatório nas seguintes situações:

• Quando os dados deixam de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
• Quando o titular retira o consentimento para o tratamento (desde que não exista outro fundamento para esse tratamento);
• Quando o titular se opõe ao tratamento e não existem interesses legítimos prevalecentes que justifiquem esse tratamento;
• Quando os dados foram tratados ilicitamente;
• Para dar cumprimento a uma obrigação jurídica decorrente do direito da União Europeia ou de um Estado Membro a que o responsável esteja sujeito;
• Quando os dados foram recolhidos no contexto da oferta de serviços da sociedade da informação.

O direito ao apagamento tem de ser conciliado com as obrigações jurídicas que o responsável pelo tratamento de dados deve assegurar relativamente às entidades oficiais, que nesse caso se sobrepõem. Por exemplo, o dever de manutenção de faturas emitidas.

Direito à limitação do tratamento – O titular pode opor-se ao apagamento dos seus dados pessoais e solicitar a limitação do seu tratamento (inserção de uma marca nos dados pessoais conservados para limitar o seu tratamento no futuro). Neste contexto, o titular tem direito a que o responsável faça a limitação do tratamento num dos seguintes casos:

• Durante o período em que o responsável de proteção de dados valida a exatidão dos mesmos, após contestação de incorreção por parte do titular.
• Quando existe tratamento ilícito e o titular se opõe ao apagamento, pode solicitar a limitação da utilização.
• Quando o responsável já não precisa dos dados para tratamento, mas os mesmos são requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
• No caso do titular se opor ao tratamento nos termos do 21.º, n.º 1 até se verificar que os motivos legítimos do responsável se sobrepõem aos do titular.
• Opor-se, a qualquer momento, ao tratamento de dados que lhe digam respeito para efeitos de comercialização.

O responsável pelo tratamento tem de comunicar a cada destinatário, a quem os dados tenham sido transmitidos, qualquer limitação de tratamento que tenha feito, salvo se essa comunicação se revelar impossível ou implicar um esforço desproporcionado. Em todas estas situações, os dados podem ser conservados, mas o seu tratamento só poderá decorrer mediante consentimento do titular, para efeitos de declaração, para exercício ou defesa de um direito em processo judicial, para defesa de outra pessoa singular ou coletiva ou por motivos de interesse público da União Europeia ou do Estado Membro.

Direito de oposição – O titular poderá opor-se à utilização dos seus dados para efeitos de comercialização direta.

Direito à notificação – Os titulares dos dados devem ser notificados ou ser-lhes dado conhecimento nos casos em que os seus dados pessoais estejam a ser recolhidos ou tratados. Por exemplo: Os colaboradores das empresas têm o direito de ser informados sobre as situações em que existe algum tipo de monitorização de equipamentos de trabalho ou geolocalização. No caso de viaturas, quando não se sabe quem conduz, deve ser colocado um dístico na viatura a informar que é efetuada a geolocalização da mesma. Se existir algum tipo de monitorização dos equipamentos/instrumentos de trabalho usados pelo funcionário o mesmo tem de ser informado/notificado disso.

Direito à não sujeição a decisões automatizadas – O titular dos dados tem o direito de solicitar intervenção humana em processos habitualmente automáticos. Por exemplo: Nos casos em que existem mecanismos de profiling, o titular pode exigir que haja uma intervenção humana nesse processo automatizado para que a decisão não seja tomada de forma exclusivamente automática. Porém, se tiver dado o seu consentimento explícito nesse sentido, esse tratamento automatizado já será possível.

Direito à portabilidade – O titular dos dados pode solicitar que os mesmos sejam transferidos para outra empresa/entidade (à semelhança do que acontece com as operadoras de telecomunicações). Pode querer transferir os seus dados clínicos, créditos de formação ou outros. Nestes casos, deve ser usado um formato de uso corrente.

Referência: Direitos dos Titulares. (2018). RGPD