O que é o RGPD (Regulamento Geral sobre a Proteção de Dados)?

O Regulamento Geral sobre a Proteção de Dados, vulgarmente conhecido como RGPD, é um quadro jurídico que estabelece diretrizes para a recolha e o tratamento de informações pessoais de indivíduos que vivem na União Europeia (UE). Estabelecido pelo Parlamento Europeu e pelo Conselho em abril de 2016, substituiu a Diretiva de Proteção de Dados 95/46/CE como a principal lei que regula a forma como as empresas protegem os dados pessoais dos cidadãos da UE. O RGPD entrou em vigor em 25 de maio de 2018.

O RGPD é um ato legislativo importante que tem efeitos de grande alcance na forma como as empresas tratam e gerem os dados. O seu objetivo é harmonizar as leis de proteção de dados em toda a UE e proteger os direitos dos cidadãos da UE relativamente aos seus dados pessoais. O regulamento aplica-se a todas as empresas que processam dados pessoais de pessoas que residem na UE, independentemente da localização da empresa.

Princípios fundamentais do RGPD

O RGPD baseia-se em sete princípios fundamentais que constituem a base das regras e regulamentos. Estes princípios são a legalidade, a justiça e a transparência, a limitação da finalidade, a minimização dos dados, a exatidão, a limitação do armazenamento, a integridade e a confidencialidade e a responsabilidade. Estes princípios não são regras em si, mas fornecem o contexto em que as leis de proteção de dados devem ser aplicadas e compreendidas.

Cada princípio tem o seu próprio conjunto de regras e diretrizes, concebidas para garantir que as empresas e organizações tratam os dados pessoais de uma forma que respeita os direitos e liberdades individuais. As violações destes princípios podem levar a coimas e sanções significativas.

Legalidade, equidade e transparência

O princípio da legalidade, equidade e transparência sublinha que os dados pessoais devem ser tratados de forma legal, equitativa e transparente em relação à pessoa em causa. Isto significa que as empresas devem ser abertas sobre as suas actividades de tratamento de dados e não devem utilizar os dados de forma que tenha efeitos injustos ou prejudiciais para as pessoas em causa.

A transparência exige que qualquer informação e comunicação relacionada com o tratamento de dados pessoais seja facilmente acessível e compreensível, e que seja utilizada uma linguagem clara e simples. Isto é particularmente relevante em situações em que é solicitado o consentimento da pessoa em causa ou em que os dados são recolhidos diretamente junto da pessoa em causa.

Limitação de objectivos

O princípio da limitação da finalidade estabelece que os dados pessoais devem ser recolhidos para fins específicos, explícitos e legítimos e não devem ser processados posteriormente de forma incompatível com esses fins. Isto significa que as empresas devem ser claras sobre a razão pela qual estão a recolher dados pessoais e o que planeiam fazer com eles. Devem também garantir que, se pretenderem utilizar os dados para outros fins, estes são compatíveis com a sua finalidade original ou têm o consentimento explícito da pessoa em causa.

Este princípio está estreitamente ligado aos princípios da minimização dos dados e da limitação da conservação, que exigem que as empresas recolham apenas os dados de que necessitam para os fins especificados e que os conservem apenas durante o tempo necessário.

Direitos individuais ao abrigo do RGPD

Um dos principais aspectos do RGPD é o reforço dos direitos que confere aos indivíduos, ou "titulares dos dados", em relação aos seus dados pessoais. Estes direitos destinam-se a dar às pessoas mais controlo sobre os seus dados pessoais e a garantir que as empresas são transparentes quanto à forma como utilizam esses dados.

Estes direitos incluem o direito de ser informado, o direito de acesso, o direito de retificação, o direito de apagamento (também conhecido como "o direito a ser esquecido"), o direito de restringir o tratamento, o direito à portabilidade dos dados, o direito de objeção e os direitos relacionados com a tomada de decisões automatizadas e a definição de perfis.

O direito de ser informado

O direito de ser informado abrange o direito de um indivíduo a ser informado sobre a recolha e utilização dos seus dados pessoais. Este é um requisito fundamental de transparência ao abrigo do RGPD. Quando os dados pessoais são recolhidos, quer diretamente do indivíduo quer de terceiros, o indivíduo tem o direito de ser informado sobre a forma como os dados serão utilizados, com quem serão partilhados, durante quanto tempo serão mantidos e se serão transferidos para um país terceiro ou uma organização internacional.

Na prática, isto significa que as empresas devem fornecer às pessoas uma declaração de proteção da vida privada no momento em que recolhem os seus dados pessoais. A declaração de privacidade deve ser concisa, transparente, inteligível e facilmente acessível, redigida numa linguagem clara e simples e gratuita.

O direito de acesso

O direito de acesso, também conhecido como direito de acesso do sujeito, permite às pessoas obter uma cópia dos seus dados pessoais, bem como outras informações suplementares. Ajuda as pessoas a compreender como e porquê os seus dados estão a ser utilizados e a verificar se a utilização dos seus dados é legal.

As pessoas podem apresentar um pedido de acesso a um assunto verbalmente ou por escrito, e a empresa deve responder no prazo de um mês. Se o pedido for complexo ou numeroso, a empresa pode prolongar o prazo de resposta por mais dois meses. Se a empresa recusar um pedido, deve comunicar à pessoa o motivo e informá-la do seu direito de apresentar queixa à autoridade de controlo e de interpor recurso judicial.

Conformidade com o RGPD

A conformidade com o GDPR não é apenas uma questão de assinalar algumas caixas; o regulamento exige que seja capaz de demonstrar a conformidade com os princípios e direitos de proteção de dados definidos no GDPR. Isto inclui mostrar como implementou a proteção de dados nas suas operações, por exemplo, através de políticas de proteção de dados, avaliações de impacto da proteção de dados, consentimento do titular dos dados, procedimentos de notificação de violações e muito mais.

O incumprimento do RGPD pode resultar em multas e sanções pesadas. Ao abrigo do RGPD, as organizações podem ser multadas até 4% do volume de negócios global anual ou 20 milhões de euros (o que for maior) por violarem o RGPD. Esta é a coima máxima que pode ser imposta para as infracções mais graves.

Avaliações de impacto sobre a proteção de dados (DPIA)

Uma Avaliação de Impacto na Proteção de Dados (DPIA) é um processo concebido para ajudar as organizações a analisar, identificar e minimizar sistematicamente os riscos de proteção de dados de um projeto ou plano. É uma parte essencial do enfoque do RGPD na responsabilidade e é exigida em determinadas situações em que o processamento de dados é suscetível de resultar num elevado risco para os interesses dos indivíduos.

As AIPD são particularmente relevantes quando é introduzida uma nova tecnologia de tratamento de dados ou quando uma operação de definição de perfis é suscetível de afetar significativamente as pessoas. Se uma AIPD indicar que o tratamento de dados é de alto risco, e se não for possível resolver suficientemente esses riscos, será necessário consultar a autoridade de controlo antes de iniciar o tratamento.

Consentimento do titular dos dados

O consentimento é uma das bases legais para o tratamento de dados pessoais ao abrigo do RGPD. O consentimento significa oferecer aos indivíduos uma verdadeira escolha e controlo. Um consentimento genuíno deve colocar as pessoas no comando, criar confiança e envolvimento e melhorar a sua reputação.

Nos termos do RGPD, o consentimento deve ser dado livremente, específico, informado e inequívoco. Tem de haver uma opção positiva - o consentimento não pode ser inferido do silêncio, de caixas pré-marcadas ou da inatividade. Também tem de ser separado de outros termos e condições, e terá de ter formas simples de as pessoas retirarem o consentimento. O consentimento tem de ser verificável e, em geral, as pessoas têm mais direitos quando se baseia no consentimento para processar os seus dados.

RGPD e cibersegurança

O RGPD tem um impacto significativo nas práticas de cibersegurança. O regulamento exige que as organizações implementem medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo a pseudonimização e encriptação de dados pessoais, a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento, a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo útil no caso de um incidente físico ou técnico, e um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.

Além disso, o RGPD introduz a obrigação de todas as organizações comunicarem determinados tipos de violação de dados pessoais à autoridade de controlo relevante. Devem fazê-lo no prazo de 72 horas após terem tomado conhecimento da violação, sempre que possível. Se for provável que a violação resulte num elevado risco de afetar negativamente os direitos e liberdades dos indivíduos, as organizações devem também informar esses indivíduos sem demora injustificada.

Medidas técnicas e organizacionais

As medidas técnicas e organizacionais são as medidas de segurança que uma organização põe em prática para proteger os dados pessoais que detém de serem acidentalmente ou deliberadamente comprometidos. São essencialmente as medidas que ajudam uma organização a atingir o nível de segurança adequado ao risco de tratamento.

Estas medidas podem incluir, por exemplo, a pseudonimização e a cifragem dos dados pessoais, a garantia da confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento, a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo útil em caso de incidente físico ou técnico e um processo para testar, apreciar e avaliar regularmente a eficácia destas medidas.

Notificação de violação de dados

Nos termos do RGPD, uma violação de dados pessoais é uma violação da segurança que conduz à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais. Isto inclui violações que são o resultado de causas acidentais e deliberadas. Significa também que uma violação é mais do que apenas a perda de dados pessoais.

Quando ocorre uma violação de dados pessoais, é necessário determinar a probabilidade e a gravidade do risco resultante para os direitos e liberdades das pessoas. Se for provável que exista um risco, deve notificar a autoridade de controlo competente; se for provável que exista um risco elevado, deve também informar as pessoas em causa.

Conclusão

O RGPD é uma lei de proteção de dados abrangente que reformulou a forma como as organizações de toda a região abordam a privacidade dos dados. Estabeleceu um novo padrão para os direitos dos consumidores em relação aos seus dados, mas as empresas serão desafiadas à medida que implementam sistemas e processos para cumprir.

Compreender o RGPD e as suas implicações é crucial para qualquer organização que lide com dados de cidadãos da UE, independentemente do local onde a organização está sediada. O incumprimento pode resultar em coimas pesadas e danos na reputação da empresa. Por conseguinte, é essencial que as organizações compreendam e implementem os procedimentos e controlos necessários para garantir a conformidade com o RGPD.