Novas regras de proteção de dados entram hoje em vigor

O novo regulamento sobre a proteção de dados entra esta sexta-feira em vigor e começa a ser aplicado automaticamente a todos os cidadãos e em todos os Estados-membros da União Europeia (UE), reforçando os direitos das pessoas.

O Regulamento Geral de Proteção de Dados (RGPD) reforça os direitos dos cidadãos e introduz sanções que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até dez milhões de euros ou 2% do volume de negócios anual a nível mundial.

Os cidadãos têm de dar consentimento explícito para que os seus dados pessoais sejam usados -- e para que fim -- e que saber que podem pedir para estes serem apagados a qualquer momento.

O regulamento europeu tem aplicação direta em Portugal e entra em vigor hoje, mesmo sem estar pronta a lei nacional que o regulamenta.

A aplicação do RGPD carece de legislação nacional que o adapte à realidade de cada país, e em Portugal a proposta de lei elaborada pelo Governo vai ainda ser discutida pelos deputados na especialidade.

A proposta do Governo português define uma isenção de multas para o setor público.

O Governo argumentou, na proposta de lei entregue ao parlamento, que o regulamento estava pensado para proteger os cidadãos europeus das multinacionais que fazem negócio com os dados pessoais.

O regulamento está em vigor há dois anos, mas começa a ser aplicado hoje.

Regulamento da Proteção de Dados não obriga a reconfirmar autorização de contacto

O Regulamento Geral da Proteção de Dados (RGPD) não exige reconfirmação para enviar comunicações, mas nas últimas semanas os 'emails' têm sido 'inundados' por mensagens de empresas relacionados com o regulamento.

O habitual é ser enviado um 'email' onde se lê: "Para continuar a receber as nossas mensagens, clique neste botão". Mas em muitos casos ainda é solicitado no 'email' o preenchimento de um formulário que, por vezes, nem sequer cumpre o exigido pelo regulamento.

Muitas dessas "reconfirmações" são enviadas a clientes, atuais ou antigos, que já tinham no passado aceitado receber essas mensagens, e o regulamento não tem qualquer disposição que peça essa reconfirmação, exceto se não havia autorização para esse tratamento ou se estava desconforme com a lei.

Existindo essa confirmação expressa e esclarecida do cliente, e independentemente de quando foi obtida e da existência ou não de relação comercial com o titular dos dados a tratar, a empresa não precisa de fazer nada.

Apesar de o regulamento ter facultado um período de adaptação de dois anos, a maioria das empresas, segundo sondagens recentemente divulgadas, deixou para segundo plano as preocupações com a aplicação do novo regulamento.

Com o aproximar da entrada em vigor do regulamento, a partir de hoje, o medo de avultadas multas previstas no regulamento é que tem levado, especialmente na última semana, a estratégias para reduzir esse risco, entre as quais se incluem o envio de 'emails' e até a destruição de dados pessoais de clientes antigos, mas para voltar a recolher esses mesmos dados.

Entre os dados pessoais que o regulamento quer proteger estão a morada, localização, informação de saúde, rendimento, perfil cultural ou IP de dispositivo, sendo impostas regras à recolha, armazenamento ou uso deste tipo de dados, que, não sendo cumpridas, podem ser penalizadas com multas até 20 milhões de euros ou 4% da faturação da empresa.

As regras definidas no RGPD aplicam-se a dados pessoais, tanto em formato digital como em papel, e visam nomeadamente obrigar as empresas a explicar aos clientes a razão de tratar os seus dados pessoais, durante que período e para quem os receber.

O consentimento para tratar dados pessoais tem de estar confirmado por uma declaração, ou outro ato positivo inequívoco, não podendo as empresas presumir esse consentimento e muito menos usar opções pré-selecionadas em 'sites'.

As empresas que recolhem dados de menores devem também, segundo regulamento, verificar o limite de idade para obter o consentimento dos pais, prevendo a proposta legislativa do Governo (ainda em discussão pelo parlamento) que esse consentimento seja necessário entre os 13 e os 16 anos.

O regulamento prevê também o direito a apagar os dados pessoais das pessoas que o solicitem, o chamado "direito ao esquecimento", assim como a opção de não receber 'marketing' direto com os seus dados e ainda o direito a solicitar que as suas informações sejam transmitidas para outra organização ou para concorrente (direito à portabilidade).

O novo regulamento retira também à Comissão Nacional de Proteção de Dados (CNPD) o controlo prévio do tratamento de dados pessoais, podendo a partir de agora qualquer entidade iniciar um tratamento dados, por sua livre iniciativa, mas desde que verifique se cumpre o regulamento, e a lei nacional, porque não cumprindo fica sujeito a multas.

A notificação obrigatória de violação de dados passa a ser uma das novas obrigações impostas pelo regulamento, que delega nos responsáveis pelo controlo de dados a notificação às autoridades de controlo locais (CNPD, em Portugal) até 72 horas após a tomada de conhecimento do facto, e a notificação de violações graves às pessoas singulares.

Novo regulamento de proteção de dados pessoais prevê multas até 20 mil euros em caso de violaçãoO novo regulamento que reforça a proteção de dados dos cidadãos da União Europeia (UE) entra em vigor esta sexta-feira, apertando as regras às empresas para uso de informação pessoal e introduzindo multas que podem ir até 20 milhões de euros

O Regulamento Geral de Proteção de Dados ( RGPD ) obriga a prestar aos cidadãos mais informações sobre a base legal para o tratamento de dados, o prazo de conservação dos dados, sobre as transferências internacionais e ainda sobre a possibilidade de apresentar queixa junto da Comissão Nacional de Proteção de Dados.

Dentro das exigências de maior transparência, ter em atenção que o regulamento obriga a que a informação sobre o uso dos dados seja inteligível e de fácil acesso, devendo haver particular atenção se os destinatários são crianças.